Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.
Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.
Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.
Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.
Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.
Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:
- Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
- Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
- Copias de seguridad: En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
- Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.
No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.
En esta ocasión, siguiendo la Guía de Almacenamiento en dispositivos extraíbles, publicada por el Instituto Nacional de Seguridad (INCIBE), ya hablamos de algunas de las medidas que se pueden adoptar para proteger los dispositivos extraíbles, pero queremos dar respuesta en la publicación de hoy, y en un sentido más técnico, a la pregunta ¿cómo se puede cifrar un disco duro o un pendrive?
- Con Windows (BitLocker)
Se trata de una herramienta desarrollada por Microsoft que normalmente ya viene preinstalada en casi todas las versiones de su sistema operativo. De todas formas, de no ser así, es posible conseguir sus versiones de 32 y 64 bits en la página de descarga de Microsoft.
A continuación, enunciamos los pasos a seguir para cifrar un disco duro o un pendrive:
- Acceder a la carpeta denominada «Este equipo» donde se listan todas las unidades de almacenamiento de tu ordenador.
- Hacer click con el botón derecho sobre el disco que se desea proteger y elegir la opción “Activar BitLocker”.
- Se abre una ventana en la que hay que elegir entre dos opciones de desbloqueo de la unidad:
– Usar una tarjeta inteligente
– Usar una contraseña. Elegimos esta opción y escribimos dos veces la contraseña que hayamos elegido.
Windows automáticamente genera una clave de recuperación para aquellos casos en los que se nos olvide la contraseña.
- Se pulsa “Siguiente” y nos da a elegir entre dos opciones; una más rápida que sólo cifra el espacio utilizado, y otra más lenta que cifra por completo el disco duro. La diferencia entre ambas opciones es que, si se cifra la unidad entera, incluye aquella información que se pueda haber borrado, de forma que se pueda recuperar.
- Ahora hay que elegir el modo de cifrado:
– De cifrado nuevo
– Compatible
El primero está pensado para unidades fijas de un único dispositivo, como puedan ser discos duros que están en el interior del ordenador o torre. El segundo, conviene seleccionarlo en caso de que se quiera que el dispositivo pueda utilizarse en otros ordenadores con sistema operativo Windows.
- En este último paso, si estamos conformes con todo lo realizado hasta ahora, seleccionamos “iniciar cifrado”.
- Al introducir el dispositivo en otro ordenador con sistema operativo Windows, nos aparecerá un mensaje de error de lectura y posteriormente otro mensaje que nos indica que está protegido con BitLocker. Al hacer clic en este mensaje, aparecerá un cuadro para escribir la contraseña.
- Con MacOs
Aquí el proceso es más sencillo, puesto que únicamente basta con:
- Formatear el disco duro o dispositivo.
- Introducirlo en el ordenador, hacer clic con el botón derecho sobre el icono y elegir la opción “Encriptar” para introducir la contraseña correspondiente.
- Con GNU/Linux
Igualmente, el proceso es sencillo:
- Únicamente es necesario con hacer clic con el botón derecho sobre el disco duro o pen drive.
- La opción para elegir en este caso es “Formatear volumen”.
- Elegimos el modo de formateo “Cifrado” ya que así, se formatea el disco duro aplicándole directamente un cifrado con una contraseña.
Como ya avanzábamos al inicio, continuaremos hablando en siguientes publicaciones sobre otras medidas de seguridad. Concretamente, nuestro siguiente artículo versará sobre cómo cifrar archivos. ¡No te lo pierdas!
Ver aquí Capítulo II.