Protección de Datos Personales
Introducción
Las fugas de datos personales (PII) son una preocupación creciente en Europa. En España, el Reglamento General de Protección de Datos (RGPD) impone rigurosas obligaciones y sanciones, destacando la importancia de proteger los datos personales.
Buenas Prácticas de Protección
- Encriptación: Utilice protocolos seguros como HTTPS, SSL/TLS para transmisiones en línea y encriptación AES para almacenar datos.
- Control de Acceso: Implemente autenticación multifactor y gestione estrictamente los permisos de acceso a los datos.
- Gestión de Contraseñas: Utilice contraseñas robustas y cambie periódicamente.
- Concienciación y Formación: Capacite regularmente a los empleados sobre las mejores prácticas en seguridad de la información.
- Políticas de Privacidad y Consentimiento: Asegúrese de que las políticas de privacidad sean claras y estén actualizadas.
- Auditorías y Pruebas de Seguridad: Realice auditorías regulares y pruebas de penetración.
Transferencia Segura de datos personales
Utilice canales seguros y verifique la identidad del destinatario para la transferencia de PII. Registre y monitoree todas las transferencias.
Para enviar correos electrónicos, es imprescindible que actives el cifrado en el correo que estás editando, en el menú "Archivo", "Información" a la izquierda, luego en el menú "Cifrar" selecciona "Solo cifrar".
Si necesitas transferir documentos o archivos, debes encriptarlos en un contenedor, utilizando Veracrypt, 7Zip o la herramienta PGP proporcionada por STIC.
Si tiene alguna pregunta o duda, póngase en contacto directamente con el STIC de la Universidad o con la Unidad de Ciberseguridad en ciberseguridad@comillas.edu.
Casos de Fugas de Datos en Europa
- British Airways (2018): Comprometió detalles de tarjetas de crédito de aproximadamente 380,000 clientes. Multa de £20 millones.
Falla Explotada: Se cree que fue un ataque de la cadena de suministro a un tercero que procesaba los pagos, enviando la información de pago directamente a los atacantes.
Multa: Inicialmente, se impuso una multa de £183 millones por la Oficina del Comisionado de Información (ICO), pero luego se redujo a £20 millones. - Marriott International (2018): Más de 339 millones de registros de huéspedes expuestos. Multa GDPR de $123 millones.
Falla Explotada: Falta de diligencia debida durante la adquisición de Starwood Hotels, no detectando que la base de datos de reservas de Starwood ya había sido comprometida.
Multa: Se enfrentó a una multa GDPR de $123 millones. - Aptoide (2020): Exposición de detalles de 20 millones de usuarios de Android. El incidente es parte de una brecha mayor que expuso datos de 39 millones de usuarios.
- Munster Technological University (2023):
Sufrió un ataque de ransomware que afectó varias de sus sedes, cancelando clases y actividades. El grupo cibercriminal Blackcat (Russian cybercrime group) reclamó un rescate no especificado y publicó datos en la dark web.
La universidad había recibido una nota de rescate en la que se amenazaba con vender y/o publicar datos si no se pagaba el rescate en un plazo determinado. La cantidad se describió como "dinero importante", pero no se reveló en audiencia pública.
Aunque se pagó el rescate, al día siguiente se confirmó que los datos de sus sistemas estaban disponibles en la "dark web".
Este caso ilustra la vulnerabilidad de las instituciones educativas a ataques cibernéticos sofisticados.
Riesgos en Europa/España
El incumplimiento del RGPD puede conllevar sanciones significativas, daños reputacionales y pérdidas financieras. Además, los ataques cibernéticos y las fugas de datos pueden exponer a la institución y a sus usuarios a riesgos de fraude y robo de identidad.
Conclusión
La protección de las Informaciones Personales no es solo un requisito legal, sino una responsabilidad ética. La Universidad Pontificia Comillas debe mantener un compromiso firme con las mejores prácticas en seguridad de la información para proteger la privacidad y los datos de su comunidad.