Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

Los activos de información son recursos que posee la entidad, asociados a la gestión de la información, que tienen valor o relevancia para la organización y, por lo tanto, deben ser protegidos.

La propia información, las personas, el software y sus configuraciones, los diferentes equipos informáticos, servidores, servicios en cloud, dispositivos de almacenamiento de información, documentación… todos ellos son activos y tienen algo en común; debilidades, que pueden ser explotadas y producir algún tipo de daño. Estas debilidades son las vulnerabilidades.

 

¿Qué es una vulnerabilidad?

 

En seguridad de la información, una vulnerabilidad es una debilidad de un activo de información o de una medida de protección. Ésta puede ser explotada por una o más amenazas, ocasionando daño a la organización o al sistema de gestión. La amenaza puede, o no, manifestarse, pero la vulnerabilidad es inherente al propio activo.

Imaginemos un activo de información bastante común como puede ser un equipo de sobremesa en el departamento de recursos humanos de una empresa cualquiera. Es lógico pensar que este equipo contiene información que debe tener algún grado de protección; contratos de trabajo, nóminas, infracciones laborales, currículum con anotaciones del departamento y todo lo referente al historial laboral del personal. Algunas de las amenazas a las que estarían expuestos el equipo y la información serían accesos no autorizados, malware o revelación de la información.

 

Amenazas

 

Estas amenazas se materializan explotando las debilidades del sistema. Por ejemplo, para que haya un acceso no autorizado, es posible que nuestra política de contraseñas sea inadecuada o inexistente, o que tengamos una configuración de derechos de acceso a la red mal gestionada, o hemos cambiado el disco duro de este equipo sin eliminar correctamente los datos del disco antiguo. Este ejemplo evidencia que una única amenaza puede explotar varias vulnerabilidades, por eso es necesario identificarlas todas en nuestro análisis.

Algunas vulnerabilidades vienen determinadas por el propio activo, sin embargo, otras provienen de la organización y su contexto particular. Sobre todo en estas últimas podemos actuar de forma que algunas de estas vulnerabilidades puedan ser mitigadas casi en su totalidad.

 

 

En el ejemplo anterior podríamos aplicar un sistema de gestión de contraseñas que de forma automática la cambie cada tres meses, comunicando la contraseña únicamente a su usuario y al responsable del departamento. También se puede contratar una auditoría de sistemas informáticos que revise las configuraciones de la estructura y permisos de acceso a los archivos de la red, y por último, enviar todos los soportes con información que se desechen, a una empresa especializada en su destrucción confidencial. Esto no elimina en su totalidad el riesgo, pero lo reduce mucho.

La importancia de analizar correctamente las vulnerabilidades radica en que nos permite tomar las decisiones adecuadas a la hora de aplicar medidas, con el equilibrio apropiado entre la efectividad y el coste, tiempo y personal, dedicados al desempeño de nuestro sistema de gestión de seguridad de la información.

 

 

¿Necesitas una auditoría o un análisis de riesgos, amenazas y vulnerabilidades?

 

En Grupo CFI disponemos de profesionales expertos en protección de datos y DPOs certificados, que pueden ayudarte. Solicita presupuesto aquí.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.