GDPR y cifrado

Tenga en cuenta que este artículo es solo para fines informativos. No está destinado a servir como asesoramiento legal. No debe actuar ni abstenerse a actuar en base a cualquier contenido de este artículo, sin buscar asesoramiento legal u otro consejo profesional.

Leer también:

• GDPR: guía de cumplimiento
• GDPR y copias de seguridad: mejores prácticas

El cifrado es una herramienta poderosa para proteger los datos personales y esta es la razón principal por la cual la GDPR explicity se refiere al cifrado en varios artículos.

El hecho de que el cifrado se menciona muchas veces en la nueva reglamentación ha llevado a muchas personas a pensar que es un requisito obligatorio para el cumplimiento. Pero veremos que este no es el caso.

El GDPR protege a los residentes europeos y sus datos personales, y este objetivo es mucho más amplio que la adopción de un conjunto de tecnologías de seguridad. Adoptar el cifrado es muy útil para cumplir con el GDPR, pero no es obligatorio ni representa una medida suficiente para cumplir con él.

Veamos dos ejemplos para comprender mejor el punto:

• ACME Inc. ha adoptado un cifrado de la base de datos para las BD de los clientes de su software de contabilidad. A pesar de esto, la contraseña de administrador de la solución es compartida y accesible por todos los empleados y no se modifica periódicamente.
• BIG Llc. ha invertido en formación para proteger los datos personales y ha aplicado un severo conjunto de políticas para administrar las contraseñas y el acceso a las máquinas físicas y todos los puntos de contacto sobre las bases de datos de los clientes, a pesar de que no han adoptado ninguna tecnología de cifrado.

¿Qué piensa, podemos considerar a ACME Inc. como un negocio compatible con el GDPR? ¿En qué empresa confiaría más?

En última instancia, lo que realmente importa es la protección de los datos personales de los residentes de la UE y el GDPR no especifica cómo garantizarlo: la regulación requiere la adopción de medidas adecuadas, en comparación con los riesgos, las empresas tendrán que demostrar el cumplimiento de los principios de protección.

Entonces, ¿se requiere el cifrado?

No necesariamente, pero es muy probable que el cifrado sea una medida necesaria para proteger los datos personales administrados por su empresa contra amenazas externas.

Simplemente, el cifrado no tiene que ser adoptado en todos los niveles posibles o por todos los datos disponibles y, con seguridad, no es la única medida que adoptar.

En primer lugar, es importante introducir procesos y políticas sólidos para la protección de datos. Al respecto, sugerimos leer nuestro artículo anterior sobre el cumplimiento del GDPR.

También debe considerar que el cifrado protege los datos, pero limita su disponibilidad, ralentiza las operaciones de escritura y lectura y puede, en caso de que se pierdan las claves de cifrado, provocar una pérdida de datos. Por esta razón, sugerimos seguir las mejores prácticas para aprovechar al máximo su infraestructura de almacenamiento y proteger los datos.

Cifrar unidades físicas

El cifrado de unidades físicas permite proteger los datos personales contra robos, pérdidas o asignaciones de máquinas físicas no correctas.

Todas las plataformas principales, incluidos los dispositivos móviles y la mayoría de NAS, SAN y otros dispositivos de almacenamiento, son compatibles con el cifrado en tiempo real a nivel de disco.

El cifrado del disco es una solución potente y eficiente en el tiempo. Sugerimos adaptarlo en todas las máquinas con datos críticos para la empresa y/o personales.

Para las máquinas físicas de Windows, sugerimos habilitar BitLocker. Puede encontrar más información sobre tecnología aquí.

Hablando de NAS, cada fabricante tiene un sistema de gestión propietario, por lo que el procedimiento para habilitar el cifrado difiere ampliamente. El siguiente vídeo proviene de la popular empresa QNAP, que ofrece una solución fácil de usar para cifrar volúmenes:

Cifrar bases de datos

Todas las principales soluciones de bases de datos tienen la capacidad de cifrar «datos en reposo», que son archivos db almacenados en un disco físico o virtual. Esto permite proteger su contenido y, por lo tanto, los sujetos de datos en caso de que los archivos db caigan en manos equivocadas.

Puede encontrar una guía de las funcionalidades de cifrado de Microsft SQL Server aquí.

Como ya se ha explicado con anterioridad, el cifrado de los archivos de la base de datos no es suficiente para garantizar la protección de datos. Actualizar regularmente el motor, restringir la administración de db de una lista de IP, promulgar políticas estrictas de acceso de administrador, contraseñas y cambio, son buenas prácticas para evitar accidentes desagradables y pueden considerarse medidas para la adopción del GDPR.

Cifrar datos con Uranium Backup

Uranium Backup permite cifrar todos los datos almacenados en un destino común para hacer una copia de seguridad de los datos en repositorios remotos como un destino en la nube, sugerimos realizar la concatenación de las tareas de copia de seguridad.

Los datos deben comprimirse en zip, siguiendo el procedimiento explicado en las capturas de pantalla siguientes:

La contraseña de cifrado debe especificarse antes de ejecutar la copia de seguridad, puede encontrarla en la Opción General de Uranium Backup. En caso de que se haya olvidado configurarla, Uranium utilizará una contraseña autogenerada, pero podrá recuperar los datos del mismo cliente que realizó el cifrado, utilizando la utilidad de cifrado (pero no podrá recuperar los datos de otro cliente de Uranium, y estará expuesto a pérdidas de datos en caso de fallo de la máquina de respaldo):