Servicios de protección de datos en Pinto

¿CÓMO REALIZAR UNA BUENA GESTIÓN DE SOPORTES EN LA EMPRESA?

3. PROCEDIMIENTO DE GESTIÓN DE SOPORTES

Con el objetivo de controlar y organizar la información que se dispone en cada área de la organización resulta vital realizar una gestión de todos los soportes y documentos que incluyan datos personales. Deben estar inventariados, identificar qué tipo de información contienen y estar sólo accesibles al personal autorizado. Nos resultará muy útil para resolver las peticiones de los derechos de protección de datos de los interesados, permitiéndonos conocer con rapidez dónde se encuentra su información, también para saber si algún documento se ha perdido o ha sido robado, a la vez que nos ayuda a comprobar si las personas que acceden a ciertos departamentos gozan de los permisos adecuados para tratar la información que contienen dichos soportes. También facilita la asignación de dispositivos a los usuarios autorizados, así como tener mayores garantías sobre la supervisión de medidas de seguridad y de la disponibilidad.

La forma de gestionar los soportes dependerá de si estos se encuentran o no automatizados.
3.1 Gestión de soportes que contengan información automatizada y no automatizada.

3.1.1 Identificar los soportes.
3.1.2 Identificación de soportes con datos sensibles.
3.1.3 Realizar un inventario de soportes y documentos..
3.1.4 Autorizar el almacenamiento en dispositivos portátiles.
3.1.5 Autorizar la entrada y salida de soportes.
3.1.6 Registro de entrada y salida de soportes.
3.1.7. Traslado de documentos.
3.1.8 Destrucción de soportes y documentos.

3.2 Gestión de soportes que contengan información automatizada.

3.2.1 Establecimiento de alternativas al uso de soportes extraíbles.
3.2.2 Establecimiento de medidas de seguridad.
3.2.3 Localización de dispositivos móviles.
3.2.4 Herramienta para gestionar dispositivos móviles.
3.2.5 Cifrado de soportes.
3.2.6 Envío y recepción de documentos adjuntos por correo electrónico.
3.2.7 Destrucción y borrado de soportes automatizados.

3.1 GESTIÓN DE SOPORTES QUE CONTENGAN INFORMACIÓN AUTOMATIZADA Y NO AUTOMATIZADA

3.1.1 Identificar los soportes.

Los soportes deben etiquetarse para conocer qué información contienen, por ejemplo, si es una carpeta que contiene facturas de enero del año 2020, podríamos crear una etiqueta FAC 01/2020 que pegaríamos en el lomo del soporte, si existen varios pendrives podríamos etiquetarlos como PEN 1, PEN 2, …

3.1.2 Identificación de soportes con datos sensibles.

Estos soportes deben incorporar un etiquetado que dificulten la identificación del contenido a personas no autorizadas.

3.1.3 Realizar un inventario de soportes y documentos.

Se debe realizar un inventario de soportes y documentos de manera, que se permita resolver la petición de los derechos de los interesados. Este inventario se podrá llevar a cabo a través de las propias aplicaciones informáticas de gestión del servicio, o bien, se podrá utilizar una aplicación de gestión de inventarios, e incluso llevarlo con una hoja de cálculo.

3.1.4 Autorizar el almacenamiento en dispositivos portátiles.

Se deberá crear un listado de usuarios autorizados para que el responsable de seguridad pueda comprobar fácilmente quiénes tienen el permiso para el almacenamiento en dispositivo portátiles.

3.1.5 Autorizar la entrada y salida de soportes.

La dirección de la organización deberá autorizar las entradas y salidas de los soportes fuera de sus instalaciones, otorgando a los usuarios que consideren determinados permisos. Por ejemplo, para llevarse un disco duro con una copia de seguridad a su domicilio, e incluso el envío de documentos adjuntos por correo electrónico. De igual forma, se debe tener un listado de usuarios con estos permisos.

3.1.6 Registro de entrada y salida de soportes.

La entrada y salida de soportes y documentos que contengan datos sensibles, se deben registrar, indicando la fecha y hora, el emisor y/o destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega y/o recepción que deberá estar debidamente autorizada.

3.1.7. Traslado de documentos.

Los soportes se deben dotar de medidas de seguridad para trasladarse, en función de la tipología de datos tratados y del grado de sensibilidad de los datos que los integren. Se deben incluir dentro de dispositivos, como carpetas, que no permitan que se visualice el contenido, y si los datos son sensibles de deberá adoptar una medida más segura como incluirlos dentro de un maletín dotado de un mecanismo de apertura con llave o clave de seguridad. Los soportes automatizados deben cifrarse, sobre todo si contienen información sensible. Consulte el apartado cifrado de soportes.

3.1.8 Destrucción de soportes y documentos.

Cuando se vaya a desechar algún soporte o documento, no debemos asegurar de que éste se destruye adecuadamente, podemos utilizar trituradoras para papel, e incluso de DVDs y CDs. o bien acudir a una empresa homologada de destrucción documental. Si vamos a volver a utilizar el soporte una vez que se hubieran destruido los documentos que contenía, se debe tener la precaución de cambiar la etiqueta identificativa.

Si desea conocer cuánto tiempo se debe conservar la documentación pulse aquí.

Si desea conocer cómo destruir soportes automatizados, o borrar su contenido pulse aquí.

3.2 GESTIÓN DE SOPORTES QUE CONTENGAN INFORMACIÓN AUTOMATIZADA.

3.2.1 Establecimiento de alternativas al uso de soportes extraíbles.

La utilización de unidades extraíbles entraña riesgos, por ejemplo, de fuga de información, si no existen medidas de seguridad una persona podría copiar documentos en una memoria, sacarla de la organización y hacer un mal uso de ella. O incluso un trabajador autorizado podría conectar en un equipo de la empresa un pendrive personal o corporativo, que antes hubiera estado conectado en algún equipo de su domicilio particular. Este pendrive podría contener un malware y comprometer la seguridad de los sistemas de información de la empresa. Por eso, resulta necesaria establecer una política de uso de estos soportes, quiénes, en qué casos y con qué medidas de seguridad se deben utilizar. Se deben otorgar a los usuarios algunas alternativas a la utilización de estos soportes, por ejemplo:

• Carpetas comunes: Utilizar carpetas comunes para compartir información.
• Conexión remota: Implantar el trabajo en remoto de forma segura permitiendo conexiones desde fuera de la oficina.
• Nube: Utilizar software o espacios de almacenamiento en la nube.

3.2.2 Establecimiento de medidas de seguridad.

Debemos aplicar medidas técnicas tanto a los dispositivos extraíbles como a aquéllos que se conectan y a los documentos que contienen:

Sobre el dispositivo extraíble:

• Cambio de contraseñas. Las contraseñas que permiten el uso de los soportes deben cambiarse periódicamente
• Evitar el uso de soportes desconocidos y no inventariados. Con carácter general se debe evitar el uso de soportes desconocidos. En el supuesto de que se deba conectar un dispositivo desconocido, por ejemplo, de un cliente, proveedor o colaborador se deberá entregar previamente al departamento informático de la empresa para que analice si es seguro. Nunca deben conectarse soportes que se hayan encontrado fortuitamente.

Sobre los dispositivos a los que se conectan:

Identificación y autenticación. Implementar procedimientos de identificación y autenticación de los usuarios.

• Desactivación del autoarranque. Desactivar el autoarranque de los dispositivos en los equipos, en los sistemas operativos Windows se denomina autorum, lo que supone que cuando se conecte un pendrive, un disco duro, un smartphone, un DVD, CD u otro dispositivo, habrá que elegir manualmente qué se hace con el dispositivo.
• Desconexión de puertos USB. Los puertos USB conviene que estén deshabilitados por defecto y en supuesto que sea necesario utilizarlo proceder a su habilitación.
• Herramientas para habilitar conexiones de unidades externas USB.
• Existen herramientas que nos permiten gestionar los puertos USB, habilitándolos o inhabilitándolos, o incluso leer en los dispositivos y no grabar en ellos.

Destaca el software URCAM, que es gratuito y puede bloquear unidades de CD/DVD, USB, el acceso al registro, a las políticas de acceso a Windows y a las tareas programadas, a los accesos al sistema, a ficheros y a unidades de red. Posibilita también que únicamente se permita la lectura del dispositivo, pero no la grabación de datos.

Sobre los archivos que se copian al dispositivo:

• Establecer permisos: Seleccionar permisos de lectura, escritura y ejecución.
• Encriptar. Cifrar los archivos.

3.2.3 Localización de dispositivos móviles.

Podemos activar o desactivar la geolocalización de dispositivos móviles a través del propio dispositivo, o bien, a través de distintos servicios y aplicaciones. Se ha de tener especial precaución, puesto que es posible que se recabaran más datos de los estrictamente necesarios debiendo respetar el art. 87 y 88 de la ley orgánica de protección de datos y garantía de los derechos digitales (LOPDGDD), que señala que el trabajador tiene derecho a su desconexión digital fuera de la jornada de trabajo, y que las medidas de control empresarial como la monitorización por GPS sólo podrán llevarse a cabo durante la misma.

3.2.4 Herramienta para gestionar dispositivos móviles.

Cuando la empresa tiene bastantes dispositivos se recomienda utilizar la herramienta El MOVILE DEVICE MANAGER (MMD) que nos permite gestionar dispositivos móviles. Existen distintas marcas en el mercado, uno de ellos es MERAKI, del fabricante CISCO, donde se puede crear una cuenta gratuita y gestionar hasta 50 soportes, con la versión de pago se pueden gestionar miles. Con estas herramientas se pueden gestionar soportes permitiéndonos conocer entre otros, aspectos como:

• Inventario con descripción adecuada del dispositivo.
• Geolocalización. Conocimiento en tiempo real de dónde se encuentra el dispositivo, así como los lugares en dónde ha estado.
• Información sobre los usuarios que se han conectado.
• Permite cumplir con las políticas de seguridad otorgándonos información del antivirus y firewall, así como otros elementos de seguridad que tiene instalado el dispositivo.
• Desde el MMD se pueden enviar las configuraciones de cifrado a los, así como obligarles a los usuarios a establecer una contraseña de acceso.
• Usar el dispositivo remotamente.
• Desactivación del dispositivo. Esta solución es muy importante, puesto que en caso de que creamos que el dispositivo está siendo utilizado por un usuario no autorizado, el administrador podría bloquearlo remotamente.
• Geofending. Esta funcionalidad nos permite trazar un área en la cual se permite su utilización, creando alertas si el dispositivo sale de la misma, enviando una comunicación al administrador.

3.2.5 Cifrado de soportes.

Si los soportes y dispositivos automatizados como pendrive, discos duros, smartphones y ordenadores portátiles, contienen datos sensibles deberán cifrarse obligatoriamente. Se aconseja que se cifren todos los dispositivos portátiles, aunque los datos que contengan no sean sensibles sobre todo si son de pequeño tamaño, sobre todo porque son muy fácil de perder o robar. Los sistemas de cifrado que se utilicen deberán modificarse en función del estado de las tecnologías, los costes de aplicación y los riesgos que se presenten.

Existen varias tecnologías y herramientas de cifrado de soportes, a continuación, enumeramos algunas que pueden servir de utilidad:

Veracrypt. Es un software de cifrado de código abierto, no se necesita pagar para poder usarla y es compatible con los sistemas operativos, Windows, Linux o Mac. Más información sobre Veracrypt.

Dispositivos que llevan integrado el software de cifrado/descifrado. Si utilizamos estos dispositivos no olvidaremos de instalar o activar ningún programa de cifrado en nuestro equipo. Algunos de estos dispositivos se pueden configurar para que tras varios intentos de acceso erróneo el dispositivo quede inutilizado. Se pueden adquirir con un coste superior a los dispositivos personales, a continuación, comentamos algunos del mercado:

• Isotorage Datashur. Es una memoria USB con diferentes capacidades de almacenamiento que incorpora un teclado numérico con el que se activa el programa interno de cifrado/descifrado de los datos. Más información sobre Isotorage Datashur.
• Ironkey. Memoria USB del fabricante KINGSTON que incorpora un software de cifrado/descifrado con un avanzado nivel de seguridad. Más información sobre Ironkey.

Herramientas para comprimir de archivos. Estos programas informáticos permiten reducir el tamaño de uno o varios archivos. Algunos de estos compresores permiten el cifrado de los archivos introduciendo una contraseña. Winrar y Winzip permiten utilizar el cifrado AES-256, al igual que 7zip que es gratuita.

Cifrar teléfonos o dispositivos con sistema operativo IOS. Los dispositivos IOS están cifrados por defecto desde el momento que se incorpora una contraseña para abrirlo.

Cifrar teléfonos o dispositivos con sistema operativo Android. Para cifrar un dispositivo con sistema operativo Android hay que abrir “ajustes”, seleccionar “seguridad y ubicación” → “cifrado y credenciales”

Si desea conocer más información sobre el cifrado de información pulse aquí.

También encontrará más información en el apartado Telecomunicaciones cifrado de documentos y archivos

3.2.6 Envío y recepción de documentos adjuntos por correo electrónico.

El control de soportes que puedan enviarse o recibirse por correo electrónico también de considerarse dentro de la gestión de soportes. Para obtener más información vaya a la sección Telecomunicaciones apartado uso y transmisión de datos por correo electrónico.

3.2.7 Destrucción y borrado de soportes automatizados.

Destrucción. Si tenemos discos duros o pendrive que están dañados y que no van a volver a ser utilizados, deben destruirse completamente asegurándonos de que los datos que contienen no pueden ser recuperados.

Si la unidad se moja con agua, puede que no funcione, pero debemos ser precavidos porque podría ser que la información que contenía pudiera ser recuperada. Para asegurarnos de que esto no sea así, debemos utilizar otras formas de destrucción, por ejemplo, someter el soporte a un fuego intenso y duradero, desmagnetizarlos poniéndolos en contacto con imanes muy potentes, y por su puesto la destrucción mecánica total.

La des magnetización es apropiada para discos duros, flexibles y cintas, sin embargo, no lo es para CD, DVD, Blu-ray Dic, Pendrive, Discos duros SSD.

Borrado de información. Sin embargo, a veces, queremos reutilizar el soporte y para ello debemos borrar su contenido previo de forma segura.

Los sistemas operativos disponen de herramientas de borrado y formateo, el proceso de borrado supone una sobre-escritura, de manera que los datos podrían ser recuperados, se borran totalmente cuando el proceso de sobre-escritura se produce varias veces.

Para eliminar definitivamente la información de un disco duro o una memoria USB se deben realizar varios formateos, si utilizamos un software específico debemos elegir la opción de formateo a bajo nivel, un proceso lento de borrado. Existen varias formas de borrado seguro como el método Gutman que utiliza un algoritmo sobre-escribiendo 35 diferentes.

Una herramienta sencilla de utilizar que permite el borrado de ficheros de manera segura es Eraser, que tiene tres formas distintas de eliminar los ficheros utilizando distintos algoritmos.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.