1 65 Table of Contents 67 148

seguritecnia 443

66 SEGURITECNIA Junio 2017 Artículo Técnico en un plazo máximo de 72 horas, ha- biendo que documentar cómo se ha producido la violación y los posibles efectos. Daños Ahora bien, ¿cómo podemos estar segu- ros de que cumplimos con los requisitos de seguridad y protección de datos? ¿Estamos seguros de que la informa- ción sensible que manejamos está bien protegida? ¿Únicamente la poseen las personas autorizadas? ¿Reside exclusiva- mente en los equipos o ubicaciones de- signadas a almacenar ese tipo de infor- mación? ¿De qué forma afrontamos la gestión de riesgos en cuanto al incumplimiento de la nueva ley? ¿Estaríamos preparados para saber exactamente cuántas copias de dicha in- formación están en nuestros sistemas, o si la información ha sido enviada fuera de ellos? De forma muy regular salen a la luz ca- sos en los que cierta información rele- vante ha sido filtrada, causando impor- tantes daños a la empresa y/o personas afectadas. Este tipo de sucesos pueden causar perjuicios de distinto tipo. Uno de ellos sería el daño económico derivado de la investigación que se lleva acabo a pos- teriori , más cuando estas investigaciones se tienen que hacer sobre un elevado número de máquinas. Por norma general, estas investiga- ciones tienen que ser rápidas, ya que se necesita esclarecer los hechos lo antes posible y evaluar los riesgos de que se siga filtrando información. Sin embargo, esto suele ser difícil debido a que no se cuenta ni con el personal ni con las he- rramientas necesarias para la investiga- ción, lo que implica que se tenga que hacer un gran desembolso para que ter- ceros la realicen. Además, existe un sentimiento gene- ralizado de “miedo”, quizá debido al des- conocimiento, a investigar los dispositi- vos de los empleados de la empresa. Hasta ahora, parecía mejor idea no in- vestigar nada por el hecho de no vio- lar la intimidad de los empleados, ya que muchos de ellos almacenan contenido privado tanto en los ordenadores como en los dispositivos móviles, más aún con la tendencia del Byod. Además, la mayoría de las herramien- tas de investigación requieren la insta- lación de algún tipo de “agente”, lo que da una mayor sensación de que se está controlando y monitorizando absoluta- mente todo lo que se hace con los dis- positivos, tanto lo relacionado con la em- presa cómo lo estrictamente personal. Sin embargo, ahora estamos en la po- sición opuesta; tenemos la obligación de L a entrada en vigor de la GDPR (Reglamento General de Protec- ción de Datos, por sus siglas en inglés) pretende conseguir que todas las empresas que tengan datos de ciudada- nos europeos estén sujetas a una nor- mativa común, con una única legislación para toda la Unión Europea. Esta nueva normativa conlleva un principio de responsabilidad activa para cualquier empresa respecto al trata- miento de los datos de terceros. Esto significa que estaremos obliga- dos a tomar todas las medidas necesa- rias que aseguren razonablemente el cumplimiento con los principios, garan- tías y derechos establecidos en el nuevo reglamento. Entre los puntos que prevé la norma- tiva, nos queremos centrar en los que tratan de la “responsabilidad activa”, es decir, los que nos obligan a tomar las medidas necesarias para estar seguro de que el estatuto se está cumpliendo sin falta. Protección de datos desde el diseño y por defecto: asegurando en cualquier fase del tratamiento de la información que la obtención, acceso, intervención, transmisión, conservación y supresión de dicha información cumple con la ley de protección de datos. Medidas de seguridad: debemos incluir las medidas y procedimientos que ga- ranticen que se cuenta con una política correcta en relación a la seguridad de la información que se maneja. Esto in- cluye la identificación, permisos de ac- ceso y política de copias de seguridad, así como el destruir de forma segura los datos una vez llegado a su fin el pe- ríodo de conservación de los mismos. Violación de datos: notificación de las incidencias a la autoridad pertinente Javier López Martín-Lara / Forensics Manager de Ondata Internacional Cómo realizar investigaciones internas cumpliendo la normativa Nuix Security & Intelligence. Seguridad I tegral

RkJQdWJsaXNoZXIy MTI4MzQz