Ciberseguridad y protección de datos

Comencemos por definir qué es una cosa y qué es otra. Según ISACA (Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los Sistemas de Información), se entiende por Ciberseguridad la “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados” y según el art. 3.c) de la Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal el tratamiento de datos personales es el conjunto de “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

De ello podemos deducir que la Ciberseguridad protege la forma de en que se tratan los datos personales. Uno de los pilares fundamentales de ambas disciplinas es la formación. Hemos de concienciar a nuestro personal que no solo hay que proteger todos nuestros activos informáticos sino también los datos personales. La concienciación ha de ser constante y la vigilancia estricta. Tenemos que inculcar a nuestro personal que también forma parte del engranaje informático, es más: es uno de los engranajes más importantes. Por ello que ha funcionar perfectamente. Si nuestra organización se hunde, se llevará nuestro puesto de trabajo por delante.

Invertir en Ciberseguridad y Protección de Datos es invertir en tranquilidad

En lo que atañe al Personal Directivo de la organización no solo hay que confiarse a los antivirus, cortafuegos, etc. hay que observar, en todo momento lo que nos dicta el sentido común. En el día a día cometemos muchos pequeños errores que nos pueden resultar caros. Veamos unos ejemplos del día a día que no solemos observar: Nuestros servidores han de estar en lugares adecuados para ellos, con la temperatura y humedad adecuados, servicios de alimentación eléctrica ininterrumpida y acceso restringido. No es conveniente recibir WhastApp, SMS, o e-mails de particulares en el Smartphone del trabajo: pueden, mediante malware (virus, troyanos, etc.) utilizarlo para infectar nuestro teléfono; de ahí lo pasaremos (sin saberlo) a nuestro correo, con lo que quedará instalado en nuestro sistema informático. Tampoco es conveniente ver videos p.ej. en youtube o cualquier otra plataforma desde el terminal de nuestro puesto de trabajo, pues puede contener malware e infectar toda la red interna de nuestra organización; como tampoco es aconsejable mirar dónde nos vamos a ir de vacaciones, o dónde me voy a comprar el coche etc. desde internet. Sepamos que todas esta páginas suelen tener banners (espacio publicitario insertado en la página) que nos puede redireccionar a una página infectada con ransonware - ahora está muy de moda y lo que hace es bloquear o codificar los equipos a cambio de un pago para desbloquearlos -).

En el caso de la protección de datos hay “tics” que no solemos controlar y que pueden hacernos vulnerables ante el resto de usuarios. Un error muy extendido es tener la pantalla de nuestro terminal de manera que el interesado que tenemos sentado al otro lado de la mesa puede ver todo lo que tecleamos (sea información referente a él o a otro usuario) o dejar documentos con información protegida encima de nuestra mesa de manera que cualquiera que se siente pueda leerla. Otro error (sobre todo del funcionariado o grandes multinacionales) es entregar información a familiares de un interesado. En este caso puede haber conflictos familiares y se puede utilizar esta información para perjudicar al interesado, con el consiguiente enojo de este último y el riesgo de que adopte medidas contra nosotros en defensa de sus derechos. La revelación de información de cualquier otro usuario sin el consentimiento de éste se puede calificar como falta grave según la Ley 15/1999, dependiendo de la sensibilidad de la información.

Como vemos son dos disciplinas completamente distintas pero complementarias. Una buena analogía sería compararlas con la Sanidad: La protección de datos es el médico de cabecera que diagnostica qué datos hay que proteger; la ciberseguridad es el especialista que decide cómo y de qué manera hay que protegerlos y decide las directrices y actuaciones más idóneas y se las comunica al técnico informático -que es el cirujano- que ejecuta mediante programación informática o las actuaciones que procedan todo lo acordado.

Como ya se ha mencionado en artículos anteriores debemos hacer hincapié en la formación de nuestro personal. La formación continua en este tema no es un gasto: es una inversión.