Vivim l’era de la digitalització en la que l’ús de dispositius mòbils forma part del nostre dia a dia per intercanviar, conèixer o usar informació en qualsevol moment.
L’accés a la informació ens és útil tant a nivell personal com professional. Podem des de tenir l’informe del projecte sobre el que estem treballant fins accedir a les dades dels nostres clients des de qualsevol lloc, inclús entrar al portal de l’empleat per a sol.licitar els nostres dies de permís. Tanmateix, aquesta facilitat d’accés a través dels dispositius mòbils, que ens dóna versatilitat i agilitat, suposa una exposició addicional: la possibilitat de pèrdua o robatori d’aquesta informació. Aquests fets estan qualificats com a “bretxes de seguretat”, segons els informes de l’AEPD sobre les bretxes de seguretat, i suposen un 20 % de les notificacions rebudes a l’Autoritat de Control.
Per intentar reduir el risc, haurem de minimitzar les dades personals que tinguem en el dispositiu i aplicar mesures de seguretat que ens ajudin a mitigar els possibles riscos com:
– Xifrar les dades del dispositiu per evitar l’accés no autoritzat en el cas de pèrdua o robatori. En els ordinadors portàtils es poden xifrar els discs durs.
En el cas dels serveis de tercers en el núvol per emmagatzemar dades hem de tenir en compte el següent:
– l’ús de pàgines webs que tinguin accés https, és a dir, amb protocol segur.
– contractar proveïdors que tinguin xifrat el servidor per a què la informació que allí s’emmagatzemi estigui més segura.
– comprovar que l’app de gestió en el mòbil envia la informació xifrada.
– Realització de còpies de seguretat periòdiques de les dades del dispositiu en un altre suport per evitar la pèrdua de disponibilitat d’aquestes dades. Això és especialment important quan emmagatzemem informació dels nostres clients/proveïdors, per exemple, en plataformes com dropbox, google drive, etc.
– Establir una contrasenya robusta i segura de bloqueig i/o autenticació de l’usuari. Psicològicament, el fet d’haver de modificar les contrasenyes genera “estrès” en els individus a causa de la fatiga que suposa que el programa o aplicació li demani el canvi de la contrasenya, però el fet de no canviar-les implica un risc per a la seguretat.
Grans companyies ens sol.liciten només el canvi de contrasenya quan hi ha hagut sospita d’un atac informàtic per evitar aquest estrès, així limiten els canvis de contrasenyes a situacions de risc. Altres companyies ometen l’ús de contrasenya i el substitueixen per l’accés a través del reconeixement facial.
Totes aquestes mesures han de ser utilitzades de forma conjunta i dins de la política de seguretat de l’empresa, establint l’ús dels dispositius segons l’accés i característiques de tractaments de dades que es realitzin.
Si malgrat aplicant les mesures de seguretat es produeix una pèrdua d’informació o ens roben el dispositiu hem d’actuar amb rapidesa. El primer serà bloquejar el dispositiu perdut o robat i avisar al responsable del tractament per a què pugui iniciar el pla d’actuació davant la possible bretxa de seguretat. Per a què la rapidesa acompanyi aquest procés, és important que el responsable tingui clar quina informació hi havia en el dispositiu i així gestionar l’incident de forma adequada i, valorar si existeix o no un risc per als drets i llibertats i, per tant, comunicar la bretxa a l’AEPD en cas de ser necessari.
L’AEPD va emetre un informe sobre la forma de valorar el nivell d’impacte de la bretxa i determinar si era necessari comunicar-ho a l’Autoritat de Control i, en el seu cas, als afectats.
És important tenir en compte que un factor determinant per a valorar l’impacte d’una possible fuita o pèrdua d’informació serà la tipologia de dades i l’exposició de les mateixes.
Per exemple, no serà el mateix que duguin a terme un atac del tipus ransomware als nostres servidors però tinguem una còpia de seguretat actualitzada i resolguem el problema de forma interna (sense entrar en detall de l’operativa de ‘rescat’ en aquests tipus d’actuacions) que es produeixi una fuita d’informació de caràcter ‘sensible’ i que aquesta es faci pública en algun portal. L’exposició d’aquesta informació és clau per a valorar el nivell de risc.
Per a qualsevol dubte, com sempre, el nostre equip de consultors està a la seva disposició.
PymeLegal.