GDPR y Ciberseguridad

Por algún motivo, hay quien prefiere correr riesgos antes que asumir sanciones

Efectivamente, me estoy encontrando -no seré el único- con empresas y profesionales muy implicados en adaptarse urgentemente a los requerimientos del GDPR, pero que están dejando “para otro momento” el afianzamiento de la seguridad de sus sistemas informáticos. Me inclino a creer que es por puro miedo a las sanciones millonarias a las que podrían tener que hacer frente, pero están olvidando una cosa: adaptarse a GDPR requiere también securizar los sistemas… Recordemos que, si no lo están, vamos a estar obligados más veces de las que nos gustaría a informar (a la AEPD) y comunicar (a los afectados) cualquier brecha de seguridad que suframos. GDPR y Ciberseguridad están destinadas a ir siempre de la mano.

El “pero”: en ningún momento se indica la calidad de protección frente a los ataques externos que deben asumir las empresas.

Y aquí es donde está el origen de la disyuntiva, de la elección: se prefiere correr riesgos antes que asumir sanciones (sean en forma de apercibimiento o multa). Está claro que no se está obrando de una manera consecuente, ya que dejar para otro momento el blindaje de los sistemas informáticos expone a éstos a ataques de diversas formas (phishing, ransomware, virus, troyanos…) que pueden dejar la información que almacenamos al descubierto y en manos no deseadas; una brecha de seguridad en toda regla, ¡vaya!

Por eso, nuestra recomendación es, por supuesto, adaptarse al GDPR (teníamos 2 años para hacerlo y siempre apuramos hasta el final del plazo), pero sin obviar que hemos de proteger nuestros sistemas frente a la pérdida o robo de datos, utilizando los métodos que hoy en día están al alcance de cualquiera:

  • Protección de todos los equipos informáticos (incluidos los dispositivos BYOD que traemos de casa, como tabletas o smartphones) con una herramienta eficiente y de acreditada solvencia frente a los ciberataques; nosotros recomendamos el uso de AppGuard, que nadie ni nada ha sido capaz de vencer en más de 10 años.
  • Política proactiva de Backup, que permita levantar rápidamente los sistemas en caso de una avería o corrupción de la información, incluso sobre un hardware diferente. 
  • Formación básica en Ciberseguridad de los usuari@s que, al fin y al cabo son quienes manejan los equipos que pueden verse afectados o incluso ser el vector de un posible ataque. 

Si queremos no hacer frente a sanciones y, además, tener nuestros datos a buen recaudo, no hemos de conformarnos únicamente con cumplir a rajatabla los preceptos de GDPR; hay que ir más allá y considerar el nuevo reglamento como un mínimo a cumplir.

¿Qué puede ser de nuestra empresa si sufrimos una fuga de información? De momento, si procede, asumir sanciones; pero ¿en qué situación queda nuestra reputación si hemos de comunicar a todos nuestros clientes, proveedores o prospectos que sus datos han quedado expuestos? ¿Y que hay de toda nuestra información que se pueda haber perdido?

Y la pregunta más dura: ¿Cuánto tiempo puede resistir una empresa abierta en esas circunstancias?
 Josep Miquel Fèlix i Zahonero

31 de marzo: Día Internacional de la Copia de Seguridad

Desde hace unos años, el 31 de marzo se celebra el Día Internacional de la Copia de Seguridad

En realidad, como cualquier otro día internacional, no es más que una excusa para concienciar (o intentarlo) a los usuarios de sistemas informáticos de cualquier tipo (ordenadores, servidores, portátiles, tabletas, smartphones…) de la importancia de contar con un respaldo de nuestra información que pueda evitarnos las consecuencias de perderla ante cualquier incidente (robo, destrucción, corrupción de la información, encriptado por ransomware…)

Si en el ámbito personal, ya es un gran problema perder información, cuando se trata de empresas la gravedad es máxima: de la información que guardamos dependen el presente y el futuro de la empresa, así como el propio archivo histórico (proyectos, facturas, presupuestos, contratos, planos…)

Lo más grave es que el Backup se considera, en muchas ocasiones, como una cuestión secundaria. Claro, la opinión cambia cuando se produce un desastre de datos, cuando hemos perdido la preciada información que mantiene nuestra empresa en pie y con proyección de futuro. Es en esos momentos cuando alguien se percata de que sí era importante disponer de un sistema de Copia de Seguridad eficiente.

En la mayoría de los casos, el “Plan B” consiste, exclusivamente, en realizar (de manera manual o programada) una copia de las carpetas que nos ha indicado el proveedor de nuestro sistema de gestión (ERP, CRM…) y alguna más que se nos ocurre a nosotros. En cuanto a la frecuencia, hay quien opina que una vez a la semana está más que bien. Y en cuanto a la efectividad, muy pocos se preocupan de comprobar si esas copias que están haciendo son realmente recuperables.

Realizar Backups Avanzados, que no sólo copien carpetas seleccionadas, sino el sistema completo del equipo, con sus actualizaciones, las aplicaciones instaladas y sus datos, el coreo electrónico, la configuración de usuario (fondo de pantalla incluido, sí) es el verdaderoPlan B“. Esto resulta más importante cuando hablamos de servidores, en los que además está funcionando un Active Directory (con todos los usuarios y permisos de acceso), una base de datos (SQL, Oracle, MySQL, PostgreSQL…), un servidor de correo o un servidor web.

Cuando hemos tomado estas precauciones y utilizamos un sistema de Backup Avanzado, la recuperación tras un eventual desastre lleva horas en lugar de días.

Los destinos de las copias pueden ser de lo más dispar: un NAS (almacenamiento en red) local o remoto, la nube, soportes extraibles… Todas las precauciones son pocas cuando el futuro de nuestra empresa depende del respaldo de nuestra información.

No lo dudes. Avanzado no quiere decir caro, sino efectivo. No lo dejes para mañana.

 Josep Miquel Fèlix i Zahonero