Tags:

Si recordamos nuestro artículo sobre el Reglamento General de Protección de Datos, comentábamos que las empresas deberán reforzar la seguridad en todos los aspectos, para poder garantizar la privacidad de los datos y el cumplimiento de la normativa La cuestión es que el propio Reglamento no aclara muy bien a qué se refiere con ese refuerzo de seguridad y se limita a señalar que las empresas deberán implantar sistemas con un nivel de seguridad razonable. ¿Qué quiere decir exactamente esto? ¿Hasta dónde estamos obligados a mejorar?

Ciertamente, es una definición un tanto peculiar para un estándar de seguridad. Razonable se puede referir a muchas cosas, pero normalmente basta con fijarse en un estándar de seguridad que impida, en cualquier caso referido en el RGPD, una violación de los datos o un incumplimiento de la normativa.

El @CISecurity ha creado una ckecklist con los controles mínimos de #seguridad razonable para aplicaciones comerciales Clic para tuitear

Para entender esto mejor, observamos una checklist creada por el Center for Internet Security (CIS) de California. Aquí se listan los controles de seguridad mínimamente razonables para aplicaciones comerciales:

  • Inventario de dispositivos autorizados y no autorizados.
  • Inventario de software autorizado y no autorizado.
  • Configuraciones de seguridad para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.
  • Evaluación continua de vulnerabilidades.
  • Uso controlado de los privilegios administrativos.
  • Mantenimiento, seguimiento y análisis de registros de auditoría.
  • Protección de correo electrónico y navegación web.
  • Defensas de malware.
  • Limitación y control de puertos de red, protocolos y servicios.
  • Capacidad de recuperación de datos.
  • Configuraciones seguras para dispositivos de red como cortafuegos, enrutadores y conmutadores.
  • Defensa de fronteras.
  • Protección de Datos.
  • Acceso controlado basado en need-to-know.
  • Control de acceso inalámbrico
  • Seguimiento y control de cuentas.
  • Evaluación de habilidades de seguridad y entrenamiento apropiado del personal.
  • Seguridad del software de aplicación.
  • Respuesta y gestión de incidencias.
  • Pruebas de penetración y ejercicios de red team (simular ataques).

El mero hecho de cumplir con este checklist no garantiza que cumplamos con los requisitos suficientes de seguridad. Por ejemplo, podemos disponer de herramientas para combatir el malware, pero no actualizarlas convenientemente.

Generalmente, estas listas están incompletas. Se pueden requerir mecanismos de defensa no listados para implementar una seguridad razonable. Depende de muchas cosas, por eso la seguridad debe ser un proceso holístico que tenga en cuenta cómo funciona el negocio, cuáles son los activos valiosos para los atacantes externos y la propia corporación.

Una checklist es un buen punto de partida, pero es necesario realizar un análisis profundo de las necesidades de seguridad antes de nada.

Deja tu comentario sobre "¿Qué es «seguridad razonable» en el contexto del RGPD?"

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.


Presto mi consentimiento para que, de acuerdo a la normativa europea de protección de datos, T-Systems ITC Iberia S.A.U trate mis datos personales con la finalidad de identificar al autor del comentario previo. Estos datos se pueden ceder a las empresas del grupo Deutsche Telekom AG. Está prevista la realización de transferencias a Francia. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos solicitándolo por escrito a: T-Systems ITC Iberia SAU, Calle Sancho de Ávila, 110. 08018 Barcelona, o a través de correo electrónico a FMB.TS-IB-PROTEC-DATOS-PERSONALES@t-systems.com, adjuntando en todo caso un documento acreditativo de su identidad. A su vez, puede dirigir cualquier consulta al Delegado de Protección de Datos a la dirección indicada anteriormente.