Obligación de cifrar GDPR
Inicio
Con el Reglamento General de Protección de Datos (UE) se establece que la obligación de cifrar, es obligatorio en estos casos.
- Imposición estatal. Los estados establecen determinadas categorías de datos y de tratamientos que exigen el establecimiento de sistemas de cifrado a las empresas que los tratan. En España, el ejemplo más práctico de esta indicación del Reglamento General de Protección de Datos (UE) lo encontramos en la obligatoriedad del cifrado sobre los datos de nivel alto, entre los que están aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical.
- Código de conducta o certificado. Las empresas tienen que implementar de forma obligatoria sistemas de cifrado en caso de que voluntariamente se hubieran adherido a un código de conducta que lo exija o si el cifrado es requisito en el certificado que muestren como acreditación.
- Evaluación de impacto. Determinadas empresas, por el tipo de tratamiento que realizan, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Estas empresas son, entre otras, las que tratan datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.
- Mitigación del riesgo. Debe aplicarse la medida de cifrado si su implantación mitiga un riesgo cierto.
Ventajas del cifrado
Si se produce una brecha de información en los datos que están cifrados y se hacen públicos, no sería necesario notificarlo a la entidad reguladora ni a nuestros clientes, al encontrarse dichos datos cifrados, protegidos. Implantando en nuestra empresa una solución de cifrado robusto conseguiremos:
- No ser sancionados por las autoridades.
- Que los datos a los que han accedido los ciberdelincuentes no se puedan utilizar.
- Que nuestra reputación como empresa salga reforzada de cara a nuestros clientes.
¿Qué debemos cifrar?
Importante
Equipos completos
Cifrar (encriptar) el disco duro completo. En caso de acceso no autorizado no se puede acceder a los datos ni tan siquiera desmontando el disco y montándolo en otro equipo. Para cifrar el contenido se utilizan las herramientas integradas en el sistema operativo del equipo. Mediante cifrado BitLocker encrypted en Microsoft Windows y Firevault en Apple. Con Sophos Safeguard lo administramos de forma centralizada.
Cifrar archivos
Con nuestra solución de cifrado, al encriptar los documentos y archivos podremos trabajar con ellos con total normalidad, copiarlos a dispositivos externos o incluso subirlos a aplicaciones para compartir archivos en la nube (Google Drive para empresas, OneDrive…). Aquellos que tengan permisos de acceso a los datos, podrán descifrar los archivos de forma totalmente transparente para el usuario.
Dispositivos externos
Se pueden utilizar dispositivos convencionales para compartir datos como memorias USBs que contengan datos que hayan sido previamente cifrados, pero también contamos como medida de seguridad adicional con dispositivos que incorporan su propio cifrado, integrado en el hardware. Tendremos un USB encriptado cifrado sólo accesible mediante contraseña (PIN).
¿Qué más se puede cifrar?
Importante
Mensajes encriptados: se pueden cifrar los archivos adjuntos en los correos electrónicos o incluso se pueden cifrar mensajes de correo completos.
Cifrar las conexiones: mediante túneles VPN. Gracias a los distintos algoritmos de encriptación la información se transmite segura a través de un medio no seguro (Internet)
Cifrar las comunicaciones con el servidor web: mediante los certificados SSL (https) los datos que se intercambian con los servidores web, se cifran de extremo a extremo
¿Es obligatorio cifrar los datos de mi empresa?
Para cualquier empresa, cifrar los datos supone un aumento muy importante en su seguridad y debería plantearse como una necesidad.
La información manejada constituye uno de los activos más importante de negocio y es crucial que los datos no estén accesibles en caso de robo intencionado o pérdida accidental.
Pensemos la consecuencias que puede tener para un negocio el robo de un portátil de un empleado que cuenta con acceso al correo de la empresa, datos de clientes, información de operaciones pendientes, proveedores, datos sensibles…Pueden suponer un grave perjuicio con consecuencias económicas y legales.
Si el dispositivo está cifrado, el robo del equipo sólo supondrá reemplazar el portátil. Sin temor a que los datos que contiene estén accesibles por terceros y sin que sea necesario comunicar que se ha producido una fuga de datos.
Gracias al cifrado de datos puedes asegurar que los ladrones no tendrán acceso a la información del equipo robado. Incluso aunque saquen el disco duro y lo monten en otro equipo, no se podrá tener acceso a los archivos.
El contenido completo del disco se encuentra cifrado con bitlocker windows (bitlocked drive) o firevault si es un Mac. Sin la clave de descifrado o “key” (que va ligada al usuario del sistema operativo) no es posible acceder a los archivos. En el caso de Microsoft además se combina con los importantes avances que están realizando para integrar completamente la autenticación biométrica en sus equipos con Windows 10 (TPM y TPM 2.0).