Conformidad de las PYMES desde la perspectiva del almacenamiento de datos

Descargar Versión PDF

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea tiene como objetivo fortalecer y unificar la protección de datos para todas las personas de la Unión Europea.

También trata sobre la exportación de datos a países que no forman parte de la UE. Aquellas organizaciones que no están en la UE pero alojan datos de ciudadanos de la UE, están sujetas al GDPR.

Su intención principal es devolver el control de sus datos personales a ciudadanos y residentes, y simplificar

el entorno normativo para el comercio internacional unificando la normativa dentro de la UE.

El GDPR contiene principalmente información sobre cómo se deben procesar los datos personales y define las funciones de los procesadores y los controladores de datos. También incluye información sobre cómo trabajar con la protección de datos desde su concepción y la privacidad predeterminada de los datos.

El GDPR entrará en vigor el 25 de mayo de 2018.

Las implicaciones del GDPR

Las pequeñas y medianas empresas (PYMES) que alojan datos de ciudadanos de la UE son responsables de la protección de los datos que almacenan.

Estos datos deben almacenarse de manera sistemática y protegerse contra el robo y las malas prácticas.

Las PYMES también deben cumplir con los derechos de las personas sobre sus datos; a saber:

  • Estar informados sobre el proceso de los datos
  • Tener acceso a sus datos
  • Poder rectificar o eliminar sus datos
  • Llevarse los datos a otra organización

El mantenimiento de los datos también es un factor importante. Algunos tipos de datos deben ser eliminados pasado un cierto tiempo como, por ejemplo, los datos personales recopilados durante la compra de un producto y la garantía asociada.

Además, hay otro tipo de datos que deben ser almacenados durante un tiempo mínimo, como los datos financieros.

En la práctica, esto significa que las PYMES deben saber dónde están almacenados los datos personales para poder responder en breve tiempo y adecuadamente a las peticiones de datos.

Aquellas organizaciones que no cumplan el GDPR corren serios riesgos en caso de que se produzca una brecha importante en el sistema, como en el caso del robo de contenido de una base de datos de clientes por parte de hackers.

Las multas pueden llegar a alcanzar los 20 millones de euros o el 4 % de la facturación, la cifra que sea mayor.

La necesidad de cumplir con el GDPR

La mayoría de las grandes organizaciones están haciendo todo lo necesario para cumplir con los requisitos del GDPR. Conocen las implicaciones de una fuga de datos.

Sin embargo, algunas organizaciones pequeñas y medianas están adoptando una postura de «esperar y ver».

Creen que el GDPR va dirigido y afecta principalmente a las grandes corporaciones que recopilan y procesan cantidades ingentes de datos personales, como las redes sociales, los proveedores de servicios en la nube o los motores de búsqueda.

Muchas de estas organizaciones esperan a ver qué ocurre cuando alguna empresa similar infringe la legislación.

Esta estrategia es muy arriesgada, ya que la amenaza de insolvencia o incluso de cierre como resultado de una multa relacionada con el GDPR es muy real.

El GDPR se aplica a todas las empresas, independientemente de su tamaño y de su facturación.

Protección de datos «desde su concepción y predeterminada»

Bajo el mandato del GDPR, las empresas deben garantizar que su enfoque de la protección de datos se realiza «desde su concepción y de forma predeterminada».

A alto nivel, significa que las empresas deben asegurar sus sistemas y procesos para garantizar que los datos no se filtren ni sean pirateados fácilmente.

Ello requiere que la protección de datos forme parte del diseño en el desarrollo del proceso comercial de productos y servicios.

Por otro lado, implica que la configuración de la privacidad debe establecerse al máximo nivel de manera predeterminada, y que las medidas de protección técnicas y procedimentales cumplen la reglamentación a lo largo de todo el ciclo de vida útil de los datos.

Además, las organizaciones necesitan implementar mecanismos que aseguren que los datos personales se procesan solo cuando es necesario y para un objetivo específico.

Además, deben adoptarse otras medidas adicionales igualmente importantes:

  • Un dispositivo de almacenamiento que proporcione redundancia RAID y proteja contra errores del disco duro evita los tiempos de inactividad y la pérdida de datos.
  • El almacenamiento centralizado es preferible al almacenamiento local en ordenadores de sobremesa, portátiles o discos duros externos o portátiles. Estos dispositivos son más propensos al robo y al acceso no autorizado. Además, es extremadamente difícil controlar quién tiene acceso a ellos y a los datos que contienen.

Sistema cerrado

Configuración segura

Cifrado de datos

Contraseñas

Antivirus
(TS3000/3010 & TS5000/5010, de venta por separado)

Copias de seguridad, replicación, conmutación tras error y cifrado

Características antirrobo

  • Protección del software: Autentificación de arranque
  • Protección frente al robo físico

La protección de datos GDPR en la práctica

La protección de datos desde su concepción y predeterminada puede tener un impacto directo sobre su solución de almacenamiento de datos.

Los requisitos normativos significan que es necesario que el almacenamiento de datos sea fácil de acceder y de gestionar, y que también debe estar diseñado desde su origen con privacidad y protección.

  • Si prevé almacenar los datos internamente, su empresa será a la vez la controladora y la procesadora de los datos. Entonces, será completamente responsable de las posibles repercusiones legales del hackeo, o por no procesar los datos de acuerdo con el reglamento.
  • Si prevé usar un servicio público en la nube o una solución de almacenamiento híbrida, es responsabilidad de la empresa asegurarse de que ella y el proveedor cumplen con el GDPR.

Si los datos personales se almacenen internamente en un servidor, en un almacenamiento NAS (unidades conectadas a la red) o en otros dispositivos, para asegurarse de cumplir con el GDPR deben incorporarse las siguientes funciones en el dispositivo de almacenamiento:

  • Protección con contraseña: los dispositivos y los archivos o carpetas que contengan datos personales deben estar protegidos con contraseñas. Solo pueden acceder a ellos los usuarios con autorización para acceder y procesar los datos.
  • Cifrado: los datos siempre deben estar cifrados en el almacenamiento y en las transferencias.
  • Protección física contra robo/pérdidas: los dispositivos que almacenen datos personales deben estar protegidos físicamente; por ejemplo, con bloqueos Kensington o llaves para NAS y discos duros de servidores, o similares. – Software antivirus para asegurar que los datos no quedan infectados por código malicioso como el secuestro de datos.
  • Protección con cortafuegos

Principios básicos del GDPR para las PYMES

Hay algunas medidas de seguridad fundamentales que las PYMES deben tomar para asegurarse de que cumplen el mandato del GDPR para la protección de datos personales.

Directorio raíz del almacenamiento
El directorio raíz es como el tronco de un árbol del que salen todas las demás ramas. Si un hacker consigue acceder al directorio raíz, puede ocultar virus y código malicioso disfrazándolos como archivos importantes que los programas antivirus suelen pasar por alto. De ahí que los sistemas operativos de las unidades NAS deban permanecer cerrados incluso para que el administrador del sistema no tenga acceso. Esto reduce en gran medida las vulnerabilidades que aprovechan los hackers que habitualmente usan sofisticados conjuntos de herramientas para acceder a los directorios raíz.
Configuración segura
A menudo, cuando una empresa está configurando su sistema NAS, se necesita una conexión a Internet para configurar la cuenta y permitir el acceso remoto. Para algunos sistemas NAS, esta es una práctica estándar. Sin embargo, también es un proceso que los hackers aprovechan para robar nombres de usuario y contraseñas mientras los datos viajan hacia el exterior de la red de la empresa a través de Internet.
Cifrado fuerte
Los datos que se almacenan en discos duros se pueden robar. El cifrado del disco duro con el cifrado 256 AES, teóricamente inviolable, significa que los datos no se pueden leer ni siquiera cuando se extraen los discos duros.

TeraStation™ de Buffalo, el NAS más seguro y totalmente conforme con GDPR

El NAS de la TeraStation™ de Buffalo, específicamente diseñado para las PYMES, ofrece las siguientes funciones, las cuales aseguran el total cumplimiento del GDPR.

  • No hay acceso por puerta trasera, lo que implica que los hackers no pueden acceder al almacenamiento de datos mediante los métodos habituales, como protocolos SSH o servidores Telnet. En resumen, los datos no se pueden piratear ni se pueden destruir.
  • En el sistema operativo del firmware de la TeraStation™ no hay ni funciones ni opciones para cambiar o añadir prestaciones. Básicamente está bloqueado y, como resultado, no hay posibilidad de crear vulnerabilidades de manera involuntaria susceptibles de ser utilizadas por los hackers.
  • Una opción de software permite al usuario dar prioridad a la seguridad de los datos sobre el acceso al sistema desactivando los restablecimientos y restauraciones externas.
  • Las TeraStations™ están protegidas físicamente mediante bloqueos de cables y discos duros bloqueables. Estas restricciones protegen el hardware del robo físico, mientras que la autenticación de arranque del software impide el acceso a los datos en cualquier circunstancia.
  • Incluye cifrado de hardware AES de las unidades de disco duro. Esta función no está activada de forma predeterminada, pero se puede activar muy fácilmente. Básicamente realiza un bloqueo del disco duro de forma que si alguien lo extrajera no se podría acceder a los datos.
  • Incorpora los protocolos de compartición segura de archivos (HTTPS, SFTP), tanto para acceso local como remoto. Los datos nunca se transfieren en modo texto por Internet, lo que impide que puedan ser leídos por terceros o por hackers.
  • Para mejorar el rendimiento, la fiabilidad y la seguridad del almacenamiento de datos, los modos de RAID seguros vienen preconfigurados de fábrica.
  • Cada TeraStation™ incluye el intercambio en caliente del disco duro cada 24 horas para asegurar que el almacenamiento está siempre intacto.
  • El firmware de la TeraStation™ no puede ser infectado por virus, ya que se trata de un sistema cerrado. Estos archivos y los archivos que se comparten entre ordenadores, tabletas y teléfonos siempre corren el riesgo de resultar infectados por código malicioso, como el secuestro de datos, los programas espía y los troyanos cuando estos dispositivos se conectan con el almacenamiento. La opción del antivirus, actualizada frecuentemente con los últimos virus conocidos y diseñada para detectar cualquier amenaza desde el minuto cero, mantiene todos los archivos limpios de código malicioso.
  • Dispone de muchas opciones de copia de seguridad para almacenar los archivos dentro o fuera del NAS. Entre las opciones se incluyen las copias de seguridad periódicas, la replicación de datos, la conmutación tras error, la copia de seguridad en la nube, copia de seguridad en USB o NAS y copia de seguridad del PC y del servidor.

La oferta de Buffalo abarca distintos modelos de TeraStation™, cada uno diseñado para satisfacer las necesidades concretas de empresas de diferentes tamaños.

El controlador de acceso

Cuando se trata de cumplir el GDPR, para las PYMES resulta básico disponer de un controlador de acceso responsable de gestionar y proteger los datos de los clientes.

Nombrar a una persona controlador de acceso garantiza la coherencia de esta estrategia.

El controlador de acceso puede identificar las posibles brechas, elaborar un esquema de las necesidades, e introducir procesos de gestión y de monitorización que encajen con los requisitos.

En resumen, se convierte en el «experto» en el cumplimiento del GDPR y la persona sobre la que recae la responsabilidad de su éxito.

Definiciones de GDPR

GDPR hace referencia a los controladores de datos, los procesadores datos y los sujetos de datos.

  • Los controladores de datos son organizaciones que recopilan datos de residentes en la UE; por ejemplo, un negocio físico o en línea, que comercia en la UE y mantiene información personal de los clientes, como su nombre, dirección e información de pago.
  • Los procesadores de datos son organizaciones que procesan datos en nombre de los controladores de datos, como en el caso de un proveedor de servicios en la nube.
  • Un sujeto de datos es un ciudadano o un residente de la UE cuya información es mantenida por un controlador de datos o procesada por un procesador de datos.

Muchas PYMES son controladores y procesadores de datos al mismo tiempo.

Definición de datos personales en el GDPR

Dato personal se define como cualquier información relacionada con un ciudadano de la UE que puede usarse directa o indirectamente para identificar a una persona.

En esta categoría puede incluirse tanto el nombre, como una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica e incluso la dirección IP de un ordenador.