La AEPD ha publicado una guía práctica cuyo objetivo es ayudar a autónomos, micropymes y pymes a implementar el cifrado como medida de seguridad esencial para proteger datos personales en su actividad diaria.
Creando unas RECOMENDACIONES GENERALES de cifrado para mejorar la seguridad de la información y prevenir incidentes.
1 Aplicar el principio de minimización de datos. Solo se debe recopilar, procesar y almacenar la información estrictamente necesaria para cada finalidad. Reducir la cantidad de datos tratados disminuye el riesgo de exposición en caso de brechas de seguridad.
2 Cifrar los ficheros sensibles antes de enviarlos por correo electrónico o almacenarlos en la nube. Esto garantiza que, aunque un archivo sea interceptado, no podrá ser leído sin la clave para descifrarlo.
3. Enviar la clave de descifrado por un canal separado del archivo cifrado. Para evitar que un atacante que intercepte el mensaje pueda acceder a la información protegida, la clave nunca debe enviarse en el mismo correo o plataforma que el archivo cifrado.
4 Cifrar el disco duro de los dispositivos utilizados para gestionar información confidencial. En caso de robo o extravío, los datos permanecerán inaccesibles sin la clave pertinente.
5 Utilizar servicios de correo electrónico con cifrado y herramientas seguras para el intercambio de documentos. Priorizar plataformas que ofrezcan cifrado de extremo a extremo para garantizar la protección de los datos.
6 Habilitar la autenticación en dos pasos en cuentas de correo, plataformas de almacenamiento en la nube y otros servicios críticos para reducir el riesgo de accesos no autorizados.
7 Ser cuidadoso al compartir información sensible, revisando los destinatarios antes de enviar correos o mensajes con archivos confidenciales. Aplicar restricciones de acceso a documentos compartidos puede evitar filtraciones accidentales.
8 Evitar incluir en el asunto del correo información que pueda revelar datos sensibles o dar pistas sobre el contenido del mensaje. Esto incluye referencias explícitas a datos personales, diagnósticos, transacciones o posibles claves para descifrar el contenido.
9 Utilizar aplicaciones de mensajería con cifrado de extremo a extremo cuando se transmitan datos sensibles. Esto impide que terceros intercepten y accedan a la información.
10 Realizar copias de seguridad cifradas de la información importante en dispositivos y en la nube. Esto garantiza la disponibilidad de los datos sin comprometer su seguridad en caso de incidentes.
11 Implementar controles de acceso y permisos basados en roles. Limitar el acceso a la información únicamente a las personas que realmente lo necesiten dentro de una organización reduce significativamente el riesgo de filtraciones.
12 Capacitar y concienciar al personal sobre la protección de datos. Muchas brechas de seguridad ocurren por errores humanos. Formación periódica en ciberseguridad y buenas prácticas en el manejo de información confidencial ayuda a prevenir incidentes.
Implementando estas medidas, autónomos y PYMES pueden fortalecer la protección de la información, minimizando el impacto de errores humanos, accesos no autorizados y ciberataques.