¿Qué hacer ante una violación de la seguridad de datos en una empresa?

La seguridad de datos consiste en establecer los sistemas de prevención que garanticen su confidencialidad. Del mismo modo, detallar los protocolos de actuación en el caso de que se produzca una quiebra en el sistema de seguridad establecido. La importante tendencia al uso de cantidades masivas de datos por parte de las empresas ha propiciado que las necesidades de almacenamiento de datos se multipliquen.

La seguridad del almacenamiento de datos en la nube

El Big Data, la inteligencia artificial y el Machine Learning han hecho que las necesidades de procesamiento y almacenamiento de datos por parte de las empresas crezcan de una forma muy importante. Ante estas necesidades, los sistemas de almacenamiento en la nube se presentan como una importante alternativa al almacenamiento físico.

El cloud computing permite a las empresas contar con un nuevo espacio de trabajo y almacenamiento de datos que no requiere de un desarrollo de las infraestructuras físicas. Este espacio en la nube aporta una serie de ventajas importantes, pero también inconvenientes que afectan, en algunos casos, a la seguridad.

Ventajas del cloud computing

Entre las principales ventajas que se pueden destacar están las siguientes:

• Poder trabajar desde cualquier lugar y accediendo desde diferentes dispositivos a programas, aplicaciones y datos.
• Accesibilidad inmediata a la información y aplicaciones.
• Agilidad y garantía en las copias de seguridad.
• Menor riesgo de pérdida de datos.
• Reducción de los costes de almacenamiento frente a las infraestructuras físicas.
• Acceso a tecnologías más avanzadas.
• Mayor velocidad de proceso.
• Gran capacidad de integración.
• Posibilidad de establecer contratos de outsourcing en materias de seguridad con el proveedor de los servicios.
• Garantía de disponer de un sistema de seguridad permanentemente actualizado.
• Menor consumo energético al tratarse de recursos compartidos y optimizados.

Inconvenientes del almacenamiento en la nube

Los principales inconvenientes que se pueden encontrar son los que se reseñan a continuación:

• Imposibilidad de acceso a la información y aplicaciones en caso de no disponer de una conexión wifi o un fallo en ella.
• Posibilidades de caídas de los servidores o de saturaciones puntuales que impidan o ralenticen el trabajo.
• Pérdida de control directo sobre la información almacenada.
• El uso de servidores y recursos compartidos por diferentes empresas y usuarios favorece la posibilidad de fallos de acceso que den lugar a accesos no autorizados.
• Si las transferencias de datos no están cifradas suponen un punto adicional para la posible fuga de datos.
• Posibilidad de cambios en las ubicaciones de los servidores de datos con desconocimiento de la empresa, ubicándose en países externos al Espacio Económico Europeo (EEE), que no mantengan una legislación que garantice sus niveles de protección de datos.

¿Cómo actuar ante una violación de seguridad de datos en una empresa?

La seguridad de datos es algo que está cada vez más presente en la sociedad. Según datos del Instituto Nacional de Ciberseguridad (Incibe), en 2017 la cifra de ataques alcanzó los 123.000 casos. Esto apunta a una tendencia al alza de los ciberataques y su expansión a todo tipo de empresas en 2018.

El plan de contingencia

Para poder reaccionar adecuadamente ante un eventual problema de seguridad en el sistema de almacenamiento y procesamiento de datos de cualquier empresa es prioritario contar con un plan de contingencia. Este provee de un protocolo detallado de actuación ante un ciberataque y establece el personal responsable de cada procedimiento.

El primer punto de este plan fijará las medidas de prevención y control encaminadas a la detección eficaz y diligente de cualquier fallo de seguridad.

Una vez que la violación del sistema se detecta, se procederá a identificar una serie de elementos:

• Determinar la naturaleza de los datos que puedan verse afectados.
• Establecer el alcance posible y la gravedad presumible de la intrusión.
• Identificar el tipo de intrusión y, en la medida de lo posible, su procedencia.

En caso de verse comprometida la integridad de datos personales de terceros se habrá de comunicar una alerta de incidencia al organismo de control establecido, en el caso de España es la Agencia Española de Protección de datos (AEPD)​, a la mayor brevedad posible y, en todo caso, en un plazo no superior a las 72 horas, según establece el Reglamento General de Protección de Datos (RGPD).

Si se diese que la violación de la seguridad que afectase a los datos personales pudiese suponer un alto riesgo para los afectados, se procederá a comunicársela a ellos de una forma clara y precisa.

Procedimiento de actuación en el plan de contingencia

Desde la detección e identificación de las características de la violación de seguridad, el plan de contingencia se desarrolla en tres fases:

Contención:

Supone la toma de medidas necesarias para detener el progreso de la brecha limitando así sus consecuencias y alcance. Puede suponer medidas como la eliminación de permisos o deshabilitación de las redes.

Erradicación:

Se trata aquí de limpiar el sistema. Se procederá a extirpar de él tanto las utilidades que han permitido violar el sistema, como puede ser un malware, o desactivar las cuentas de usuarios que puedan haber facilitado la intrusión.

Restablecimiento:

En esta fase, una vez superadas las incidencias, se procederá a recuperar el sistema, verificando que las medidas tomadas han sido efectivas y que la vulnerabilidad del sistema ha sido subsanada con plenas garantías, procediendo a restaurar los datos y la operativa a su funcionalidad normal.

¿Qué sucede en caso de tener los datos en la nube?

Según las diversas leyes y reglamentos que regulan la protección de datos personales, la responsabilidad última sobre los datos recae en la empresa. Aunque se recurra al outsourcing, la empresa deberá asegurarse del cumplimiento por parte de la compañía con que contrate los servicios en la nube de los protocolos de seguridad establecidos.

Para el establecimiento de las características de los servicios prestados se establecen contratos y acuerdos de nivel de servicios (ANS) que deben recoger, como mínimo y con garantías, el traslado de los niveles de seguridad que se tienen establecidos hasta ese momento en la empresa a la nube.

La seguridad de datos es uno de los temas que más está preocupando a las empresas en la actualidad. Garantizar una correcta protección de los datos personales es un imperativo legal. Ante cualquier brecha de seguridad se ha de seguir un plan de contingencia que se debe trasladar a la nube.