Cifrar la información es una necesidad y una obligación » SmartCIO
 

Pages

Categories

Buscar

Una web de MuyComputerPRO Sites


Cifrar la información es una necesidad y una obligación

Cifrar la información es una necesidad y una obligación

María Guilarte
Por
31 octubre, 2014
Especiales

No basta con almacenar la información para posteriormente analizarla. Los datos son la sabia de cualquier empresa y debe asegurarse de que estén a salvo. Esta necesidad de protección no solo viene impuesta por el propio interés de la empresa, también por la Administración Pública que busca salvaguardar el bienestar de los ciudadanos que forman parte de esos datos o información.

Para ello es esencial contar con un sistema de cifrado que mantenga la información de los posibles peligros. El «Informe sobre la necesidad legal de cifrar información y datos personales», elaborado por Abanlex en colaboración con Sophos, muestra un dato preocupante y es que muchas empresas no cifran sus datos por miedo o desconocimiento. Un dato preocupante sobre todo si se tiene en cuenta que hoy en día es más sencillo cifrar que en 2006. Las herramientas de cifrado son cada vez más comunes, así como las empresas que desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los tamaños.

Pero no se trata únicamente de cifrar la información, hay que hacerlo siguiendo la normativa vigente. El Gabinete Jurídico de la Agencia Española de Protección de Datos nos recuerda que:

La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos. No es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación.

¿Quién está obligado a cifrar en España?

La Ley Orgánica de Protección de Datos impone la obligación de cifrar la información que contenga datos de carácter personal en varios supuestos. Los más relevantes son los siguientes:

– El artículo 93.3 del Reglamento de que desarrolla la LOPD (en adelante RLOPD) especifica que las contraseñas deben almacenarse de forma ininteligible. La manera más fácil es codificando dichas contraseñas.

– El artículo 101 del RLOPD establece que los soportes, los dispositivos portátiles y las copias de seguridad que contengan datos especialmente protegidos deben ser cifrados antes de ser trasladados o tratados fuera de la oficina del Responsable del Fichero.

– El artículo 104 del RLOPD obliga a cifrar los datos especialmente protegidos enviados a través de redes de telecomunicaciones (por ejemplo, Internet)

En este sentido se distinguen tres niveles:

Nivel Alto. Ficheros o tratamientos con datos de:

– Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto a los que no se prevea posibilidad de adoptar el nivel básico

– Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

– Aquellos que contengan datos derivados de actos de violencia de género.

Nivel Medio. Ficheros o tratamientos con datos:

– Relativos a la comisión de infracciones administrativas o penales.

– Que se rijan por el artículo 29 de la LOPD, prestación de servicios de solvencia patrimonial y crédito.

– De administraciones tributarias y que se relacionen con el ejercicio de sus potestades tributarias.

– De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros.

– De entidades gestoras y servicios comunes de seguridad social, que se relacionan con el ejercicio de sus competencias.

– De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

– Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas.

– De los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

Nivel Básico. Cualquier otro dato que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

– Los datos se utilicen con la única finalidad e realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.

– Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad el fichero.

– Ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o conducción de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

Las medidas de seguridad de nivel básico son exigible en todos los casos. Las medidas de nivel medio completan a las anteriores en el caso de ficheros clasificados en este nivel, las de nivel alto, cuando deben adoptarse, incluyen también las de nivel básico y medio.

Por otro lado aquellos sectores como la joyería, inmuebles o la abogacía están obligados al cumplimiento de la normativa de prevención del blanqueo de capitales y de financiación del terrorismo, respecto de determinados ficheros que están obligados a crear.

shutterstock_222787627

Requisitos que debe cumplir un cifrado legal

Únicamente son válidos los sistemas de cifrado que garantizan que la información no sea inteligible ni manipulable por terceros. En este sentido la Agencia Española de Protección de Datos es clara, herramientas como la comprensión de archivos (ZIP) y los sistemas de claves de los PDF no son suficientes. Según la Agencia existen técnicas que actualmente se pueden emplear como alternativa al cifrado de datos, como son la esteganografía para el caso de ocultación de mensajes a nivel de aplicación o la transmisión mediante espectro ensanchado (spread-spectrum) para el caso inalámbrico a nivel físico. Pero éstas tienen una implementación y una gestión mucho más compleja y problemática que la que ofrecen los actuales sistemas de cifrado.

En 2009 la Agencia afirmó que aún no se disponía de tecnologías más ágiles para preservar la confidencialidad de la información que emplear herramientas de cifrado, aunque en un futuro estas puedan aparecer. Cualquier sistema de cifrado deberá

– No estar comprometido, es decir, que no se conozca forma de romperlo.

– Contar con un sistema de gestión de claves, en particular y con un procedimiento de administración de material criptográfico en general.

En este sentido la agencia concluye:

– Para un uso particular, los sistemas generales de cifrado (ZIP, PDF, etc.) podrían considerarse adecuados, según el caso.

– Para un uso profesional, los sistemas generales de cifrado son insuficientes para el intercambio de información con las garantías que se precisan en el Reglamento.

Al final, la respuesta para cumplir la normativa se encuentra en las herramientas profesionales pensadas, diseñadas y probadas para cumplir al detalle la normativa vigente en España en materia de cifrado.