Desde el INCIBE nos dan unas pautas para proteger la información de nuestra empresa. Por supuesto el primer paso es saber que tenemos que proteger para ello debemos clasificar la información para saber que medidas aplicar. Aquí os dejo un enlace para ver más sobre este tema.
El INCIBE nos da estos pautas para cifrado publicado el 27/11/2018 en su web:
En el funcionamiento diario de cualquier organización, se procesa multitud de información que en función de su contenido puede considerarse sensible y confidencial. Debido a la trascendencia o el impacto que este tipo de información podría tener en nuestro negocio, deberá estar especialmente protegida tanto en su tránsito, como cuando esté almacenada.
Para proteger la información, además de contar con políticas de control de acceso y de clasificación de la información, también existe la posibilidad de hacer uso de herramientas criptográficas. Éstas se encargarán de cifrar los datos haciéndolos ilegibles, salvo para aquellos casos en que se disponga de las claves de descifrado. De esta forma, se garantiza la confidencialidad e integridad de la información, principal activo de cualquier organización.
Además, en sectores como el administrativo, donde se trabaja con facturas, contratos e información privada similar, se puede utilizar la firma digital en los documentos y correos electrónicos. De esta forma, garantizaremos la autenticidad, confidencialidad, integridad y no repudio de los mismos.
Por otro lado, también será muy importante utilizar protocolos de comunicación seguros, haciendo uso de certificados web de validación extendida para aquellos servicios que se gestionen vía web (como los pagos online), o el uso de VPN para acceder en casos de teletrabajo.
Con el objetivo de proteger la información a través de las técnicas criptográficas tendremos que tener en cuenta los siguientes puntos:
Qué información deberá ser cifrada. Para ello, tendremos que clasificar la información para diferenciar cuál deberá ser cifrada (información sensible o confidencial, información almacenada en servicios cloud o dispositivos extraíbles, etc.).
Uso de firma electrónica. Será necesario utilizarla en aquellos escenarios que requieran especial garantía de autenticidad y no repudio de la información (trámites con la Administración Pública, facturación, etc.).
Certificados web. Necesarios para garantizar la seguridad de la información de un sitio web. En caso de trabajar con trámites o ventas online contaremos con un certificado SSL/TLS.
Cifrado de datos cuando se contraten servicios externos. Especialmente si estos servicios trabajan con datos personales o confidenciales de nuestra organización (nóminas, seguridad social, etc.). Además, también será necesario cifrar cuando se realicen copias de seguridad en la nube o si se cuenta con pasarelas de pago para nuestra tienda online (se recomienda no almacenar datos en nuestra web de las transacciones que se realicen optando mejor por servicios externos).
Cifrado de datos en el desarrollo de aplicaciones. Por norma, cualquier desarrollo de una aplicación que trate datos personales o credenciales de acceso, deberá contemplar criterios de privacidad por defecto como el cifrado de la información.
Accesos a través de VPN. En aquellas situaciones en las que se cuenta con accesos externos autorizados, como puede ser por motivos de teletrabajo, se habilitarán canales VPN cifrados que garanticen la confidencialidad de las comunicaciones.
Algoritmos de cifrado. Es recomendable utilizar algoritmos de cifrado actuales evitando hacer uso de aquellos que hayan quedado obsoletos. Además es preferible que sean conocidos, hayan sido evaluados ampliamente y siempre que sea posible de cifrado asimétrico.
Aplicaciones autorizadas para usos criptográficos. Es conveniente contar con una lista de aplicaciones permitidas con fines criptográficos, detallando el uso concreto de cada una.
Protocolos seguros de comunicación. Deberemos formar a todos los empleados para garantizar la confidencialidad. Para ello, se emplazará a que hagan uso de mecanismos y herramientas de comunicación que utilicen protocolos criptográficos (SSH, SFTP,FTPS o HTTPS).
Cifrado del wifi. Será necesario configurar la red wifi de tu empresa con el estándar de cifrado más seguro, el WPA2-AES y cambiar la clave de acceso por defecto.
La información corporativa, confidencial o sensible con la que se trabaja en una organización debe contar con un nivel de seguridad y protección alto. Además de establecer protocolos en el acceso y tratamiento de la misma, implantaremos políticas para su cifrado, aumentando considerablemente el nivel de confidencialidad y garantizando la integridad de la información.
La Agencia Española de Proteccion de Datos ha emitido un informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en la nube con sistemas ajenos a las plataformas educativas. En el se incluye una serie de recomendaciones a seguir. Para leer dicho informe puede pinchar aquí.
| NOTICIAS DE SEGURIDAD | ||
| Publicado el: jueves, 22 noviembre 2018 El Pleno del Senado ha aprobado este miércoles definitivamente el Proyecto de Ley Orgánica de protección de datos personales y garantía de los derechos digitales, con el voto en contra de Unidos Podemos, Compromís, Nueva Canarias y Bildu, en medio de la polémica por el artículo ’58 bis’ sobre utilización de medios tecnológicos y datos personales en las actividades electorales de los partidos políticos. El texto del Proyecto de ley ha salido adelante en la Cámara Alta tal y como se aprobó en el Congreso de los Diputados ya que PSOE y PP han rechazado todas las enmiendas que habían sido presentadas por Compromís, Ciudadanos, PDeCAT y Unidos Podemos – En Comú Podem – En Marea. La iniciativa legislativa comenzó su tramitación con el PP en el Gobierno. De este modo, sale directamente para su publicación en el Boletín Oficial del Estado (BOE) y su aplicación. La polémica de esta ley ha surgido a raíz del citado artículo ’58 bis’ que establece que «la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas». Además, el nuevo artículo indica que «los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral». Europa Press (22/11/2018) CCN-CERT |
El INCIBE informa de una campaña de correos falsos que estan intentando suplantar a Openbank, para ver mas detalle acceder a este enlace. En la solución a dicho phising nos dan los siguientes consejos:
«Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:
