Cada año, enormes cantidades de datos se ven afectadas por robos y divulgaciones no deseadas. Los ciberdelincuentes suelen atacar todo tipo de datos. Por lo tanto, los datos deben protegerse contra el acceso no autorizado de acuerdo con sus necesidades de protección, por ejemplo, mediante cifrado, ya que el cifrado no solo protege contra daños financieros y deterioro de la reputación, sino que también está previsto en el artículo 32 del GDPR.
Descubra aquí lo que necesita saber sobre el cifrado conforme a la protección de datos.
Cifrado conforme al artículo 32 de la DSGVO
El artículo 32 del RGPD obliga a los responsables del tratamiento a proteger los datos personales de forma adecuada. A tal efecto, deben adoptarse "medidas técnicas y organizativas apropiadas" (MTO) "para garantizar un nivel de protección adecuado al riesgo". A la hora de considerar si una medida es adecuada, se tienen en cuenta factores como el estado de la técnica o los costes de aplicación. Además, influyen la naturaleza, el alcance, las circunstancias y la finalidad del tratamiento, así como la probabilidad y gravedad variables del riesgo.
El artículo 32 I lit. a del RGPD menciona el cifrado como medida técnica y organizativa apropiada. El cifrado protege la información almacenada para que una persona no autorizada no pueda leerla al acceder a ella. El objetivo es garantizar que los posibles atacantes no puedan al menos utilizar los datos capturados si fallan todas las demás medidas de protección.
Multas relacionadas con el RGPD
Si se produce una violación de datos en la que los datos afectados no están cifrados, el incidente no sólo es denunciable, sino que también puede dar lugar a elevadas multas. Por un lado, esto perjudica a las finanzas de la empresa y, por otro, a su reputación ante la opinión pública, así como a la reputación de sus clientes.
Consejos para la protección de datos en la práctica
Los sistemas que se encuentran habitualmente fuera de la empresa (por ejemplo, los portátiles de los empleados para la oficina en casa o los dispositivos para el servicio externo) corren especial riesgo de acceso de terceros. Una buena protección de datos también tiene en cuenta a los empleados y sus errores humanos. Hay que tener en cuenta que Personal debidamente formado las medidas de protección son fáciles de aplicar para todo el mundo y siguen proporcionando un nivel de seguridad adecuado. Todos los sistemas de seguridad, incluidos los que no están encriptados, deben revisarse y mantenerse periódicamente.
Desde un punto de vista organizativo, es importante considerar qué activos pueden salir de la empresa y a qué activos se puede acceder a distancia, por ejemplo. Las joyas de la corona de TI, como categoría de activos más importante, no suelen poder salir de la empresa ni ser accesibles a distancia.
Para el cifrado propiamente dicho, existen soluciones tanto de hardware como de software. Debe prestarse especial atención a la gestión segura de las claves. Estas soluciones no tienen por qué ser caras ni complicadas. Con Bitlocker, por ejemplo, el propio Windows ya ofrece una solución fácil de usar. Cuando se navega por Internet o se recuperan correos electrónicos, esto ya suele funcionar mediante el cifrado de transporte (TLS), que suele producirse de forma automática y, en caso contrario, los programas como los navegadores muestran una advertencia que avisa de la inseguridad de la transferencia de datos.
Un buen concepto criptográfico no debería faltar en ninguna implementación de protección de datos y sistema de gestión de protección de datos.
Si necesita asesoramiento sobre medidas de protección de datos o ayuda para aplicarlas, nuestro equipo de expertos estará encantado de ayudarle.