Dentro de las funciones del Delegado de Protección de Datos, conforme a lo establecido en el RGPD 679/2016 en su artículo 39, debemos recordar que se establecen las siguientes:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligacionesque les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impactorelativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de controlpara cuestiones relativas al tratamiento, incluida la consulta previaa que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.”

En esta entrada del blog, nos vamos a centrar en la primera función de informar y asesorar para evitar la pérdida de información como puede ser y es frecuentar a través de los dispositivos extraíbles, por ejemplos, pendrive. Como bien sabemos, es frecuente que en las empresas se utilice dispositivos extraíbles como medio de trabajo, un adecuado protocolo de seguridad puede evitar la pérdida indeseada de documentos importantes y así no exponer la dimensión de confidencialidad.

De forma orientativa y no excluyente, expondremos los puntos importantes a tener en cuenta cuando se elabora un protocolo de almacenamiento seguro en dispositivos extraíbles. Dichos aspectos son los siguientes:

  • Se debe llevar una identificación de inventariado de los dispositivos autorizados.
    No se deben utilizar dispositivos extraíbles de los trabajadores, si nos los facilitados de forma segura por la empresa.
  • Registro de usuarios y dispositivos.
    Tenemos que mantener un registro de dispositivos detallando los privilegios de acceso asignados a cada usuario que los necesite.

  • Definir en qué condiciones o casos se permite su uso.
    No debe ser una forma generalizada de trabajo, dado que puede suponer un método de trabajo poco seguro por su facilidad para que se extravié.
  • Definir cómo se accede y si la información debe ir cifrada o incluso establecer las configuraciones de seguridad necesarias para poder utilizarlos, etc.
    Si la información almacenada en el dispositivo extraíble tiene un algo riesgo para la empresa por su nivel de confidencialidad, se deberá cifra el contenido.
  • Concienciación de los empleados.
    El robo o extravío, la manipulación, y la infección por virus de los dispositivos extraíbles son las causas más frecuentes por las que puede perderse la información contenida en ellos. Por eso es importante involucrar a los usuarios en la protección, vigilancia y buen uso de estos dispositivos, concienciándolos de la trascendencia de la protección del mismo y de los datos que contiene.
  • Como se ha expuesto, este medio de trabajo es poco seguro, por lo que es recomendable que en los protocolos se establezcan alternativas a los medios de almacenamiento extraíble.
    Para evitar la necesidad del uso de estos soportes pueden implantarse las siguientes formas de trabajo:
      · Utilizar repositorios comunes para el intercambio de información;
      · Implantar la posibilidad de acceso remoto para poder trabajar desde fuera de la oficina;
      · Usar los servicios de almacenamiento en la nube autorizados por la organización.
  • Aplicar medidas técnicas para garantizar un almacenamiento seguro de la información.
    Estas medidas podrán aplicarse tanto sobre el dispositivo extraíble como sobre los dispositivos a los que se conecta o sobre los documentos. Por ejemplo: Sobre el dispositivo extraíble, se pueden programar cambios periódicos de contraseña de acceso al dispositivo.Mientras que sobre los dispositivos a los que se conectancomo por ejemplo los ordenadores, se debe implementar mecanismos de autenticación de usuarios, evitar que dispositivos no registrados puedan conectarse a cualquier equipo de la organización, desactivar la opción de autoarranque en los equipos para no permitir posibles ejecuciones automáticas no deseadas cuando los dispositivos extraíbles son enchufados y deshabilitar por defecto los puertos USB y habilitarlos para el personal que necesite dicha funcionalidad de manera periódica o gestione ficheros de gran tamaño.
  • Finalmente, es importante supervisar el cumplimiento de la normativa. El responsable debe comunicar esta normativa y asegurarnos de que los empleados la conocen y se comprometen a cumplirla antes de utilizar dispositivos extraíbles en el entorno de trabajo.

Estas indicaciones para elaborar un protocolo de seguridad sobre los dispositivos de almacenamiento de información extraíble ayudaran a la empresa a mitigar los riesgo que supone sacar información confidencial de la empresa de forma no segura.