Imprimir esta página

Aula TIC PYMEs de la USC

Ciberseguridad y Protección de Datos


Publicado: Martes 16 de julio de 2019
Actualizado: Viernes 12 de julio de 2019

Autora o autor

En mayo de 2018 entró en vigor el ya famoso RGPD (1) o Reglamento general de Protección de Datos de la Unión Europea, reglamento que por definición se convierte en ley orgánica (y por lo tanto de obligado cumplimiento) en todos los países de la Unión. Fecha clave que marca un antes y un después de la relación entre individuos y organizaciones, publicas y privadas, así como entre ellas, interna y externamente al territorio europeo.

No podemos perder el foco del origen de esta regulación: el Parlamento Europeo. Esto nace de un ámbito de regulación dentro del alcance político de la Unión en el que se considera la protección de datos un elemento clave de los derechos individuales de los ciudadanos de los estados miembros. Además, este alcance entra de lleno en la motivación básica de la UE para los próximos años: la evolución de la economía en un ámbito digital y de interrelación entre organizaciones, individuos y administraciones.

Si bien existían normativas amplias, especialmente la española en la ya famosa LOPD (actualizada y muy reforzada en la reciente LOPDGDD (2) que ampara ya el RGPD), su aplicación era dispersa en el ámbito europeo. A esto se le añade el exponencial crecimiento de los usos digitales, comercio electrónico y ámbito de relación ciber en el territorio y sus canales económicos y sociales.

Y en este punto es donde la propia regulación hace hincapié en la protección y control de estos derechos personales, la privacidad y protección de datos, desde el ámbito digital y cibernético, terreno en el que la ciberseguridad es la función y disciplina que juega un papel clave.

La Ciberseguridad como término tiene relativamente poco tiempo de vida. “Ciber-” es un término acuñado por la RAE como “relación con redes informáticas” por lo que extendiendo esta definición hablaríamos de “seguridad relacionada con redes informáticas”. Una definición algo pobre para la relevancia que ha adquirido del concepto.

Digamos que de forma extensiva Ciberseguridad aparece con la necesidad de proteger los sistemas informáticos de ataques maliciosos que afecten a su correcto funcionamiento y ocasionen daños. Sería una parte de la tradicional Seguridad Informática o Seguridad de la Información más clásica.

La seguridad de la información incluye por supuesto la necesidad de proteger aquella información personal con la que interactuamos en los medios diarios como las redes sociales, la navegación por internet, correo electrónico, servicios digitales y todos aquellos que supongan la cesión, tratamiento y gestión de aquellos datos bajo el epígrafe de personales.

La ciberseguridad debe formar parte de toda esta gestión de la información, tanto desde el ámbito personal donde la precaución debida entre en la esfera de lo personal considerando donde y como permitimos acceso a nuestros datos personales (3) . Internet es una ventana global, con una gran facilidad para compartir información, pero una extraordinaria complejidad, si no imposibilidad, de tener control sobre ella, y mucho menos capacidad de restirar o anular.

Como desde el profesional o como ciudadano, donde los cuidados son los mismos, pero además las organizaciones o terceros a los que como individuos confiamos nuestra información deben garantizar el cuidado debido, la gestión adecuada y las medidas correctas de protección.

Las claves de esta protección son tres: la confidencialidad de la información, la integridad de la misma y su disponibilidad. Estas claves son exactamente los tres pilares fundamentales de la ciberseguridad.

La confidencialidad implica que la información sea accesible únicamente por el personal autorizado.

La integridad de la información implica que la información sea correcta y esté libre de modificaciones y errores. Hay que tener presente que la información ha podido ser alterada intencionadamente o ser incorrecta, lo que supone un riesgo si estamos basando nuestras decisiones en ella.

La disponibilidad de la información se refiere a que la información esté accesible para las personas o sistemas autorizados, cuando sea necesario.
Se considera que existe una fuga de información cuando de infringe el criterio de Confidencialidad de forma que quien no esté autorizado accede a información personal. En su mayoría, estos incidentes de fuga de información terminan con la difusión o publicación de datos de carácter personal lo que infringe la normativa, siendo La Agencia Española de Protección de Datos (AEPD ) (4) es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos.

Estas fugas de información tienen un origen que responde a una serie de amenazas, internas o externas que pueden conducir a un incidente de este tipo.

Origen interno: dentro de este punto incluimos las fugas de información ocasionadas por empleados propios de la empresa, ya sea de forma inconsciente (por desconocimiento o por error) o dolosa (en el caso de empleados de la propia organización que voluntariamente facilitan el acceso o revelan tal información a terceros sin autorización, lo que comúnmente se conoce por “insider”).

Origen externo: en este grupo incluimos amenazas que provienen de fuera de nuestra organización y que tienen por objetivo acceder de manera ilícita a información confidencial. Entre estos supuestos podemos destacar, por ejemplo:

• El hackitivismo (5) : terceros que quieren mostrar su desacuerdo con la actividad que realiza el un individuo, empresa u organización.
• La venganza de clientes descontentos o de antiguos empleados.
• El robo de información confidencial: el acceso no consentido a información privilegiada de clientes o relacionada con expedientes concretos por parte de organizaciones criminales, o ciberdelincuentes que persiguen sustraer datos confidenciales buscando una ventaja competitiva o la obtención de beneficio económico.
• El ataque de terceros que simplemente buscan el daño a la imagen del individuo, empresa u organización.
• Otros cuyo objetivo es realizar actividades de competencia desleal.

La forma de prevenir la materialización de estas amenazas es amplia y entra dentro del ámbito y especialización de la ciberseguridad, desde estadios tempranos como la concienciación de las personas para evitar comportamientos de riesgo (uso de contraseñas débiles, tener los dispositivos y ordenadores sin antivirus o sin actualizar, responder a correos no identificados tipo phishing (6) …) hasta las medidas empresariales o corporativas (cifrado de la información, trazabilidad de los datos, cortafuegos….)

El análisis de las medidas a utilizar es de ámbito del escenario en el que nos encontremos como ciudadanos, profesionales liberales, PYMES, empresas, AAPP… teniendo especial cuidado en identificar que información es relevante, establecer los mecanismos que aseguran podemos hacer un uso eficiente y adecuado.

En esta tarea, ingente en muchos casos, lo relevante es el sentido común (sobre todo como individuos) y el apoyo de organizaciones y empresas especializadas. Existen ámbitos de colaboración y divulgación para individuos y empresas como es INCIBE (7) donde podemos acceder a cantidad de recursos e incluso recabar información y realizar consultas directas.

Es también muy relevante entender la normativa en este aspecto a través de la Agencia Española de Protección de Datos y sus publicaciones (8).

NOTAS:

(1) https://ec.europa.eu/info/law/law-topic/data-protection/reform_es?pk_source=google_ads&pk_medium=paid&pk_campaign=gdpr2019

(2) http://noticias.juridicas.com/base_datos/Laboral/632849-lo-3-2018-de-5-dic-proteccion-de-datos-personales-y-garantia-de-los-derechos.html

(3) https://www.aepd.es/media/guias/guia-privacidad-y-seguridad-en-internet.pdf

(4) https://www.aepd.es/

(5) https://es.wikipedia.org/wiki/Hacktivismo

(6) https://www.incibe.es/protege-tu-empresa/blog/phishing-no-muerdas-el-anzuelo

(7) https://www.incibe.es/

(8) https://www.aepd.es/guias/index.html



Aula TIC PYMEs de la USC

Dirección web de este artículo:  http://aulaticpymes.es/./?ciberseguridad-y-proteccion-de