Compliance | Digital | Protección de datos

Compliance en la Era Digital

22/06/22

Con el uso de las nuevas tecnologías se han incrementado los riesgos tecnológicos a los que debe hacer frente una organización. Esto obliga a una correcta medición y gestión de sus riesgos tecnológicos a través de un programa específico de Compliance tecnológico.

1. Escenarios de fugas de datos

 

La fuga de información es uno de los mayores problemas a los que se puede enfrentar una organización en materia de compliance tecnológico. Una fuga de información es el incidente por el que una persona ajena a la organización obtiene información confidencial que sólo debería estar disponible para integrantes de la misma. Las fugas pueden tener un origen interno o externo y, a la vez, ser intencionadas o no. Por tanto, existen 3 tipos de fugas:

  • Fuga accidental: no suele ser intencionada o maliciosa. En la mayoría de los casos se produce debido a errores operativos por parte de los empleados (ej: enviar email a persona incorrecta), si bien las consecuencias son las mismas que si se hubiese realizado de forma malintencionada.
  • Fuga malintencionada: se produce cuando un trabajador de la organización con acceso a información confidencial lleva a cabo una conducta con intención maliciosa (ej: filtrar información confidencial fuera de la organización)
  • Fuga a través de comunicaciones con intención maliciosa: se produce por el mal uso de internet o correo electrónico por parte del trabajador, principalmente al abrir correos o páginas que contienen malware.

Una vez se ha constatado la existencia de una fuga de información (brecha de seguridad) que afecte a datos personales, se debe notificar a la Autoridad de control en materia de protección de datos en un plazo máximo de 72 horas contadas a partir de la fecha en que se haya tenido constancia de la violación de la seguridad.

Por otro lado, el almacenamiento online o en la nube consiste en la prestación de servicios tecnológicos que permiten almacenar información en la red sin que sea necesario disponer de servidores propios u otros dispositivos de almacenamiento. El tercero que presta el servicio gestiona la información, teniendo la organización que implementar medidas técnicas y organizativas en las que debe quedar claro que el proveedor de los servicios será el Encargado del Tratamiento y la organización el Responsable del Tratamiento.

Asimismo, realizar copias de respaldo o copias de seguridad (backups) facilita el control de la información y previene en casos de pérdida de información.

Otro de los métodos para evitar fugas de información son los acuerdos de confidencialidad, se trata de un documento firmado entre la organización y el empleado u otra empresa, cuyo objetivo es mantener el deber de confidencialidad de cierta información considerada reservada durante la relación contractual o negocial y una vez finalizada la misma.

2. Usos de los recursos TIC

 

Las Políticas TIC no se encuentran expresamente reguladas por ley, lo que permite que no sean fácilmente adaptables a las circunstancias de cada organización.

Al implementar controles tecnológicos es necesario examinar distintos aspectos:

  • Juicio de idoneidad: si la medida adoptada es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: si resulta necesaria o existe una medida más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad: si la medida tiene más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.
  • Juicio de justificación: si la medida de control se ha realizado con base a una justificación objetiva y no obedece a un mero deseo y discrecionalidad empresarial.

Principios a tener en cuenta al implementar la política de medios tecnológicos

  • El trabajador debe ser informado de la posibilidad de que el empresario adopte las medidas de vigilancia de su correspondencia y comunicaciones, y de su puesta en marcha de tales medidas.
  • Se debe distinguir el alcance de la vigilancia a realizar y el grado de intrusión en la vida privada del trabajador.
  • Deben existir motivos legítimos para justificar la vigilancia de las comunicaciones y su contenido.
  • Deben conocerse las consecuencias de la vigilancia para el trabajador y el uso de los resultados de la medida de vigilancia.
  • Se deben ofrecer al empleado las garantías adecuadas, especialmente cuando las medidas tengan carácter intrusivo.

3. Política BYOD

 

La política Bring your own device (BYOD) nace como consecuencia del uso de dispositivos personales (móviles, tablets u ordenadores portátiles) para acceder de forma remota a cualquier red de la organización en el ejercicio de su actividad laboral. Esta política establece buenas prácticas sobre el uso de estos dispositivos:

  • Prohibición de dispositivos manipulados.
  • Concienciación y formación a empleados.
  • Limitación a redes desconocidas.
  • Prohibición de aplicaciones no recomendadas.
  • Control de acceso a la red y almacenamiento de datos corporativos.
  • Control de usuarios y dispositivos.
  • Medidas ante el extravío de dispositivos.
  • Desconexión wifi y bluetooth.

4. Mecanismos de prevención

 

  • Mecanismo de autenticación: Se distinguen dos partes. De un lado, el probador (que es un usuario que desea acceder a recursos de la organización) y, de otro lado, el verificador (es un sistema que protege el acceso a dichos recursos, requiriendo permisos o contraseñas para ello).
  • Control de accesos: consiste en establecer una política de usuarios y grupos, definiéndose los grupos que pueden acceder en función del tipo de información. Una vez se crean los grupos, se atribuyen permisos (como el grado de acceso a la información).
  • Plan de continuidad de negocio: permite implementar, mantener y mejorar los sistemas de gestión de continuidad de negocio; proporcionar un lenguaje común a organizaciones globales, proteger a los empleados y la reputación de la marca, y asegurar la continuidad de negocio y de la comercialización de productos y servicios.
  • Prevención y detección de virus: la implementación de un sistema antivirus que, junto con otras herramientas de la organización, se encarguen de proteger el resto de los activos de la organización.
  • Política de usos permitidos y prohibidos: debe contener cómo se configura y se gestiona dentro de la organización la administración de dispositivos.