En estos días está de actualidad el «hackeo» de los sistemas informáticos de una administración local de la provincia de Cádiz. A los perjuicios que se le causan al ciudadano por no poderle ofrecer la administración diversos servicios que dependen del sistema informático se unen otras dos cuestiones:
- El posible acceso indebido a los datos personales de los ciudadanos. Estos datos pueden ir desde el nombre y el DNI, dirección hasta el número de su cuenta bancaria.
- La pérdida de los datos personales de los ciudadanos.
Esto le pasa tanto a administraciones como a grandes empresas, pero también puede ocurrir en menor escala en nuestros trabajos. En el trabajo utilizamos una amplia gama de dispositivos portátiles (smartphones, tablets, ordenadores portátiles, memorias USB, discos duros, etc.). Esto implica un factor de riesgo adicional que es el robo o pérdida de dichos dispositivos.
Existen varias medidas para minimizar los daños:
- Mantener una copia de seguridad en otro soporte.
- Tener el menor número de datos almacenados en los dispositivos y usar éstos para el acceder remotamente a los datos siempre que sea posible.
- Cifrar los datos en el dispositivo.
- Tener contraseñas de bloqueo y autenticación robustas.
Esto es más complicado cuando se trata de dispositivos de almacenamiento como memorias USB, discos duros externos, tarjetas de memoria, etc. Para esto existen aplicaciones como bitlocker de windows que pueden añadir una contraseña a estos dispositivos. Esta es una opción muy recomendable para evitar el acceso indebido a los datos en caso de pérdida o robo del dispositivo. Merece la pena proteger estos dispositivos con una contraseña, dado que por su tamaño, sobre todo las memorias USB, son fáciles de perder o ser robadas. Este simple gesto nos puede ahorrar muchos quebraderos de cabeza, a nosotros y a nuestros clientes.
Pero otra cuestión es que hacer en caso de pérdida o robo del dispositivo, o acceso indebido a los mismos.
En primer lugar hay que ponerlo en conocimiento del responsable del tratamiento para que pueda iniciar el plan de actuación y gestionar el incidente. El responsable debe saber que información contenía el dispositivo.
Si existe un riesgo para los derechos y libertades de las personas físicas, se debe notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo de no más de 72 horas desde que se tuvo conocimiento del incidente. Si el riesgo es alto también se debe informar a los afectados.
En caso de que los dispositivos estén cifrados con claves suficientemente robustas y que no hayan sido comprometidas, no es necesario notificar el incidente a la AEPD dado que se puede considerar que la confidencialidad no ha sido comprometida.
Por otra parte les animo a consultar la web de la AEPD donde existen guías y artículos muy interesantes al respecto.
//www.aepd.es/media/guias/guia-privacidad-y-seguridad-en-internet.pdf
ENYGIS , su consultor para la Protección de Datos en Cádiz.