Conforme a lo establecido por la Ley 1581 de 2012, tanto los responsables como los encargados del tratamiento de datos personales, deberán implementar medidas técnicas humanas y administrativas adecuadas y eficientes a fin de garantizar un nivel de seguridad de la información adecuado con el riesgo del tratamiento y es sobre esta obligación que, las organizaciones deben trabajar arduamente, enfocando sus esfuerzos para que su gestión realmente proteja la información que está bajo su responsabilidad.
Ahora bien, las medidas técnicas se presentan como un elemento que posee cierto grado de complejidad, ello en virtud a que se deben contemplar una buena cantidad de variables para así modelar un sistema de seguridad que cuando opere sea realmente efectivo. En tal sentido, en innumerables ocasiones tal modelado exige de inversiones en software y hardware de manera que, se soporten los requerimientos de hoy en día y es ahí donde nos concentraremos en este artículo, pues, para muchas organizaciones el horizonte no es claro y no saben qué hacer.
En vista de lo anterior, hablaremos de algunas medidas técnicas esenciales que le permitirán a cualquier organización disponer de un sistema adecuado para la protección de los datos personales que están bajo su cuidado, medidas que deberán ser documentadas e incluidas en un documento denominado “políticas generales de seguridad” el cual, además de relacionar las medidas definirá ciertos aspectos básicos: qué, cómo y dónde se almacenará la información, como se accederá a ella, cuál es el nivel jerárquico dentro de la organización para establecer permisos de acceso a los datos, qué registros quedarán como prueba del acceso, modificación y borrado de la información, cómo, cuándo y quienes revisarán tales registros, cómo fluirán los datos entre las diferentes dependencias, quien realizará los reportes de novedades, qué medidas se tendrán para evitar la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los datos personales transmitidos, almacenados o procesados, y qué medidas se tendrán para reestablecer los datos en caso que se pierdan o se destruyan.
Las medidas técnicas recomendadas son las siguientes:
- Seudonimización y cifrado de información: Estos dos elementos son esenciales, el primero evita que una base de datos copiada pueda ser leída; pues, para que eso suceda se requerirá de un proceso de ensamblado de los campos de datos que permite construir los registros de información. El segundo impide que paquetes de datos interceptados, o incluso la información existente en una unidad de almacenamiento sea leída; dado que se requiere que los datos sean decodificados.
- Restricción de acceso a dispositivos en los que se procesan bases de datos, usando en ellos contraseñas de doble factor y/o validaciones biométricas: Esto impide el acceso no autorizado a los ordenadores sea porque fueron sustraídos de la organización, o porque alguien malintencionado intenta acceder a la información que en ellos se procesa. Aquí se recuerda que alguien podría ver cuando usted digita su contraseña, es por ello que el doble factor o la validación biométrica es indispensable.
- Restricción o inhabilitación de medios que puedan facilitar la copia no autorizada de los datos almacenados: Esta técnica impide que una persona mal intencionada coloque por ejemplo una memoria USB y extraiga datos de un ordenador.
- Vinculación de los ordenadores en una red con dominio de manera que se valide a los usuarios y se evite la conexión de equipos no autorizados: Esta técnica impide que alguien malintencionado se conecte a su red local e intercepte datos que fluyen por sus sistemas compartidos.
- Disponer de antivirus que cuenten con protección de tiempo real en ordenadores y servidores: Aunque simple, esta medida le otorga seguridad a cada ordenador; pues impide que la navegación en internet o el uso de algún software local infecte el equipo con malware software espía o abra canales de comunicación para extraer información.
- Disponer de sistemas de control de tráfico de red con reglas de seguridad acordes a las políticas generales de flujo de datos: Con estos sistemas se busca restringir la salida o entrada de datos de fuentes externas, forzando a que sólo los programas autorizados sean los únicos que puedan intercambiar información.
- Disponer de sistemas para la elaboración y restauración de copias de seguridad con reglas de limitación de acceso, tiempo de almacenamiento, verificación de resguardo, uso y destrucción las mismas: El borrado premeditado o accidental de datos, el hurto de equipos, los incendios, inundaciones o terremotos son situaciones que pueden suceder, y usted debe estar preparado para recuperar la información en caso que sucedan, ello sin olvidar que las copias de seguridad se pueden convertir en piezas sueltas fuera de control, por lo que se deben destruir cuando dejen de ser necesarias.
- Implementación de sistemas de control que prueben, verifiquen y evalúen las medidas técnicas y sus actividades; Un sistema de seguridad que no es probado ni verificado puede no cumplir su función, por lo que un programa de testeo debe ser practicado regularmente.
A lo anterior se le deberá sumar un protocolo de acciones de los funcionarios, el cual establecerá cómo se inician y cierran las sesiones, cómo se deben suspender los ordenadores cuando hay una ausencia temporal del sitio de trabajo, cómo se filtran los correos para descartar los de tipo malicioso, qué rutinas se deben tener para verificar la seguridad de los ordenadores de trabajo, y demás instrucciones que apliquen cuando se operan equipos que de alguna manera se relacionan con los procesos de captura, almacenamiento y procesamiento de datos personales.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
