Poniendo soluciones a la in-seguridad de los datos

Las brechas de datos sufridas por Yahoo! o Linkedin tardaron meses en descubrirse.

Resulta sorprendente darse cuenta de que los atacantes tuvieron el tiempo suficiente para infiltrarse a través de los distintos sitios web y poder acceder a una variedad de datos de consumo e información.

Por eso es importante que las organizaciones avancen hacia su seguridad.

¿Cómo?

Empleando métodos más fuertes de autenticación de usuarios, además de las credenciales.

Realizando verificaciones previas a la autenticación como parte del proceso, incluyendo la comprobación de:

  • la dirección IP de acceso.
  • la ubicación geográfica del intento de inicio de sesión.
  • el tipo de navegador web utilizado.

disco con candado

Así que como continuación de las políticas de protección de datos que deberíamos implantar en nuestra organización podrían estar también:

Política de minimización

El responsable del tratamiento de datos tendrá que almacenar los mínimos datos posibles de sus clientes, estableciendo el número de usuarios que podrán acceder a esos datos.

En consecuencia, la organización sólo tratará datos personales adecuados, pertinentes y limitados a lo necesario, en relación con los fines para los que son tratados.

Así pues, según lo estipulado en este principio, solo podrás recoger los datos personales que vayas a tratar.

Ni más ni menos, solo los que sean estrictamente necesarios.

Además, solo podrás recogerlos cuando vayan a ser tratados.

Es decir, no podrás hacerte con los datos de los usuarios o consumidores para utilizarlos meses después.

Y, por último, únicamente podrás tratarlos para la finalidad que hayas declarado en los términos y condiciones.

Si los usas para cualquier otro fin, esto puede ser denunciado y duramente penalizado.

nube con candado

Política de pseudonimización y cifrado

La pseudonimización es una técnica de tratamiento de los datos personales, de forma que no se pueda reconocer la identidad de una persona sin utilizar información adicional.

Sin duda, se trata de un método cuya finalidad es disminuir lo máximo posible el vínculo que hay entre los datos y su propietario.

En consecuencia, es importante que para que la pseudonimización y protección de datos sean compatibles, se custodie la información adicional que permita vincularla al titular del mismo.

Además, hay que tener en cuenta que a pesar de ser datos “pseudonimizados”, siguen siendo de carácter personal.

Es por este motivo que siguen estando sujetos al cumplimiento del Reglamento de Protección de datos.

Técnicas utilizadas.

Sabiendo cómo se relacionan la seudonimización y la protección de datos, cabe mencionar que los métodos más utilizados son:

  • Función hash: es una técnica irreversible. A través de una función criptográfica (hash) se transforma cualquier bloque de datos en una serie de caracteres de la misma longitud.
  • Cifrado con clave secreta: un cifrado de información normal y corriente. El poseedor de la clave de desencriptación puede revertir el proceso en cualquier momento.
  • Descomposición en tokens: mecanismo de cifrado unidireccional que consiste en “esconder” la información bajo un número generado aleatoriamente y que no tenga relación matemática con la información original.
  • Función con clave almacenada: es una mezcla entre el primer y el segundo método.
  • Cifrado determinista: generar un número aleatorio que sirva de seudónimo para un conjunto de datos.
  • La encriptación protege los datos y archivos reales almacenados en ellos, o que viajan entre ellos, a través de Internet.
  • El enmascaramiento de datos es un método con el que podemos crear una versión que tiene una estructura similar a la de los datos originales pero que no es auténtica y que puede utilizarse para fines tales como pruebas de software y formación de usuarios. 

Las estrategias de encriptación son cruciales para cualquier empresa que utilice la nube y son una excelente manera de proteger los discos duros, los datos y los archivos que se encuentran en tránsito a través de correo electrónico, en navegadores o en camino hacia la nube.

El enmascaramiento de datos no es otra cosa que oscurecer registros específicos dentro de la base de datos, asegurando que los datos sensibles son reemplazados con datos que parecen reales pero no lo son, de forma que pueden ser utilizados en entornos de pruebas con la seguridad de que las pruebas son válidas, mientras que se garantiza la protección de los datos confidenciales.

teclado ordenador con personitas en las teclas

Política de autenticación de usuarios.

Para poder controlar de manera efectiva el acceso a las diferentes aplicaciones ( tanto de terceros como de personal de la empresa) es necesario basarse en algún tipo de rol, entendido como una suerte de privilegio personal, que se pueda atribuir a un determinado individuo y correspondiente a un área determinada.

Es decir, que esta forma de gestionar los accesos permitirá que cada persona pueda ver diferente información, pero sólo la que necesita, mientras que la empresa podrá ser capaz de controlar todos los accesos en función del nivel de visibilidad que se atribuye a cada tipo de rol o de perfil.

Un factor de autenticación es una categoría de credencial utilizada para la verificación de identidad.

CATEGORÍAS
  • Factores de conocimiento: una categoría de credenciales de autenticación que consiste en información que el usuario posee, como un número de identificación personal (PIN), un nombre de usuario, una contraseña o la respuesta a una pregunta secreta.
  • Factores de posesión: una categoría de credenciales basadas en los elementos que el usuario tiene con él, generalmente un dispositivo de hardware como un token de seguridad o un teléfono móvil que se utiliza junto con un token de software.
  • Factores de inherencia: una categoría de credenciales de autenticación de usuario que consta de elementos que son integrales para el individuo en cuestión, en forma de datos biométricos.
  • La ubicación del usuario y la hora a veces se consideran el cuarto factor y el quinto factor para la autenticación. 
telefono celular blanco sobre fondo verde

La ubicuidad de los teléfonos inteligentes puede ayudar a aliviar la carga de la autenticación multifactorial para los usuarios. La mayoría de los teléfonos inteligentes están equipados con GPS , lo que permite una confirmación de seguridad razonable de la ubicación de inicio de sesión. 

Las medidas de seguridad más bajas incluyen la dirección MAC del punto de login o verificaciones de presencia física a través de tarjetas y otros elementos de factores de posesión.

empleados alrededor de una mesa estudiando informes

Así que junto a las políticas ya vistas referentes a

  • la transferencia internacional de datos
  • la clasificación, conservación, y recuperación de la información
  • uso del correo electrónico y uso de internet para empleados
  • escritorios limpios
  • destrucción de documentos
  • contraseñas

Deberíamos incluir asimismo otras políticas de minimización, pseudonimización y cifrado, y de autenticación de usuarios vistas en este post.