Sin embargo, cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una gran cantidad de empresas y Administraciones Públicas. No es mala fe, es simplemente desidia o desconocimiento. Y lo peor es que en el momento más inoportuno le puede estar aguardando una sanción de hasta 600.000 euros, […]
Dirigentes Digital
| 23 nov 2014
Sin embargo, cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una gran cantidad de empresas y Administraciones Públicas. No es mala fe, es simplemente desidia o desconocimiento. Y lo peor es que en el momento más inoportuno le puede estar aguardando una sanción de hasta 600.000 euros, a poco que se aplicase la ley "de manera ejemplar".
Tenemos un código penal que peca a veces de garantista, y en lo que a tratamiento de datos se refiere, se protege por exceso y no por defecto. Así, in strictu sensu, y siguiendo a la Ley Orgánica de Protección de Datos (LOPD) 15/1999 de 13 de diciembre, todos deberíamos cifrar ficheros en el mismo momento que contengan datos personales de otros que aludan a creencias políticas o religiosas, orientación sexual, raza, condicionamientos físicos o mentales, estado de salud, maltrato de género, blanqueo de dinero y un largo etcétera.
Por no mencionar a los que realicen los tratamientos de datos de carácter personal en el ejercicio de su profesión, como médicos, periodistas, abogados, procuradores, detectives, policías o los mismos sacerdotes, además de las Administraciones Públicas en cumplimiento del Esquema Nacional de Seguridado las empresas que acepten el BYOD (bring your own device), por poner sólo algunos ejemplos.
El Ilustre Colegio de Abogados de Madrid, por ejemplo, proporciona diversas herramientas testadas a sus colegiados para el ejercicio profesional, entre ellas de correo electrónico, pero la utilizada por la mayoría envía los mensajes por defecto sin cifrar.
Y lo mismo pasa en los bufetes de postín; según comentaba el director general de Sophos en España, Pablo Teijeira "deltop ten de bufetes de abogados que hay en España, sólo dos cifran sus datos". Y aunque también disponen de otra herramienta que sí cifra en origen, después la mayoría tiende a lo cómodo y más a mano: "servicios de correo tan inseguros como Yahoo, Hotmail o Google". Y eso es porque al otro lado se necesita tener el mismo programa para desencriptar el mensaje y haberse creado un certificado digital, cosa ya bastante más difícil de forzar a un cliente a llevar puesto de serie.
Según Pablo Fernández Burgueño, socio director del despacho Abanlex, "más del 90% de los abogados utilizan este tipo de correos para recibir y enviar información sensible de sus clientes, información que debería ir cifrada.
Yo me dejo olvidado el móvil en el taxi con información sin cifrar, y me pueden caer: hasta 600.000 euros de multa por la LOPD; que mi cliente vaya a la cárcel y me expulsen del Colegio de abogados por no proteger su derecho a no declarar contra sí mismo; por revelación de secretos, hasta cuatro años; y esto al margen de posibles indemnizaciones que mi cliente o sus familiares u otros afectados me quisieran interponer".
Pero su colectivo no es el único expuesto a este riesgo. Realmente, hay muy pocos sectores que tengan la conciencia de cifrar la información, salvo que sea por imperativo legal: sanidad, justicia, defensa… y poco más. Siemens, Boing, Airbus, Chrysler son ejemplos de grandes multinacionales que sí.
Sin embargo, hay múltiples sectores de actividad sensibles: desde anticuarios y galeristas hasta vendedores de sellos, desde casinos hasta casas de empeños y joyerías, por no hablar de asesorías de todo tipo y cualquier negocio que emplee ficheros con tratamientos de datos que incluyan filiaciones de sus clientes. "En perfil bajo, hasta una floristería cuya contraseña de acceso al listado de clientes estuviera en texto plano y no cifrada", explicita Pablo Fernández Burgueño. "En perfil alto: cualquier soporte, esto es, cualquier dispositivos como ordenadores o teléfonos que salen fuera de sede, deberían estar todos cifrados. En España, de 5.000-6.000 pymes de entre 0 y 250 empleados, el 94% no cifra".
Todo esto, cuando el robo de datos a las empresas está a la orden del día: JP Morgan, Domino’s Pizza, Dropbox, iCloud, Whatsapp… Para Pablo Teijeira, "además de contar con servicios de protección de red, es muy importante que las empresas cifren la información susceptible de ser sustraída, para así preservar la confidencialidad de la información. El cifrado es la mejor forma de protección de datos, incluso si sufrimos un ataque tanto externo como interno (el 80% de las fugas es por culpa de un insider, sea de manera negligente o a propósito). De este manera, aunque fuesen capaces de robar nuestros ficheros, estos no les serían de ninguna utilidad al no poder acceder a la información que contienen".
Qué no es cifrar
La normativa española especifica muy claramente que cifrar no es comprimir en una carpeta, no valen los WinZip ni los WinRar. Se habla de queúnicamente son válidos los sistemas que garanticen que la información no sea inteligible ni manipulada por terceros, pero los PDF tampoco resuelven este aspecto.
Hay múltiples técnicas de cifrado, todo depende del tiempo y los recursos que se quiera dedicar, pero también muchos mitos que se deben aclarar. "Según el Esquema Nacional de Seguridad, aquellos dispositivos que no permitan cifrado robusto, no son seguros para la protección de propiedad intelectual, ni de contener secretos comerciales, ni de evitar el espionaje industrial. Se requiere niveles superiores, como el cifrado selectivo, la otorgación/restricción de accesos, el control de llaves USB, de BYOD, de la nube…", señala el abogado de Abanlex.
En este escenario, la Administración Pública tampoco se libra. En general, todos los organismos y funcionarios deberían adoptar medidas extra de seguridad de nivel alto, así como velar por que esto se produzca en los distintos ámbitos de su actuación, desde los registros civiles hasta las auditorias fiscales.
Pero según relataba un experto que prefirió mantenerse en el anonimato, "la mayoría de clientes que nos llegan al despacho solicitando información no cumple con algún requisito. Y el cifrado de datos es uno de ellos. Las compañías anteponen la comodidad a la seguridad. Y la seguridad nunca es cómoda. En una ocasión una empresa me llegó a decir que, si tuviera que cumplir con todas las normativas, prefería cerrar y marcharse a otro país".
Desmitificando tópicos
Cifrar los datos no es complicado. Lo único que hay que hacer es comprar un programa específico e instalarlo, exactamente igual a como se hace con los antivirus. El problema, según la opinión de la mayoría de letrados, es que "la LOPD es de difícil cumplimiento en toda su amplitud. Son tantas las reglas que es muy complicado que las empresas las cumplan todas".
En la parte técnica, es un tema de governance y compliance, temas más aburridos y secundarios para el CIO que mantener al día sus sistemas y solventar caídas de servicio. Pero no por ello, debe descuidarlo y obviarlo.
El cifrado de los datos se puede realzar sin excesiva dificultad, con un coste razonable y con la seguridad de que se cumple la ley de forma adecuada. La mayoría de las herramientas de cifrado son modulares, permitiendo la gestión completa a través de un panel de control específico sin interponerse en la actividad diaria.
La Agencia Española de Protección de Datos(AEPD), que es la encargada de velar por el cumplimiento de la LOPD, normalmente se inhibe y solo actúa por denuncia interpuesta, aunque bien podrían en cualquier momento actuar de oficio y liarla parda. "La responsabilidad del cifrado es siempre del que trata los datos", señala Pablo Fernández Burgueño.
En este contexto, el bufete Abanlex (el mismo que sentó a Google en el banquillo de Luxemburgo por el derecho al olvido) ha elaborado el primer informe sobre la necesidad legal de cifrar información y datos personales, en colaboración de la empresa de seguridad informática Sophos, disponible en sus web para la descarga gratuita.
Es la primera vez que se realiza un estudio en profundidad de este tipo en España, "para aclarar los vacíos de conocimiento que existen y que las empresas e instituciones sepan a qué atenerse; y para desmitificar el cifrado, democratizando esta tecnología y demostrando que es una tecnología fácil de instalar y manejar, con un impacto en el rendimiento mínimo", añade Pablo Fernández Burgueño.
"Cifrar siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Y es el método tecnológico correcto. Un número elevado de sujetos están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad.
En el resto de casos, cifrar es de una utilidad extraordinaria, ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales. Si yo tuviera que abrir una cuenta corriente o hacerme una póliza de salud, seguramente al primero en descartar sería a esa entidad que ha salido en la prensa por algún problema de fuga de datos", señala el director general de Sophos. "Hay que actuar de forma reactiva, no para ganar más confianza, sino para no perderla".
Desmontando los prejuicios, Pablo Teijeira enumera los peros más comunes y los contrapone a sus argumentaciones. "Va a ser muy caro. Hace cinco años los usuarios podían quizás tener la impresión de que los fabricantes tenían una posición dominante con precios prohibitivos; hoy ya no es así y no es la excusa. Se dice que puede limitar la productividad del usuario.
Al contrario, aumenta: sólo hay que darle a guardar con el símbolo del disquete; una vez cifrado la unidad de disco (o todo el sistema), es una operación sencilla y rutinaria. Se dice que puede ralentizar el arranque del ordenador. Vale, un 5-7% más, que en 20 segundos no significa nada.
Se piensa que la información encriptada no podrá ser recuperada nunca si se pierde la clave; mentira, porque el fabricante o soporte técnico también está obligado a tenerla y custodiarla. Se piensa que se va a necesitar más tiempo en administración de equipos. Nada más lejos a una esclavitud en la gestión, no se tarda más de 35 minutos en cifrar unos 25 equipos corporativos¸y van a ser los mejor empleados, una vez hecho el perfil bajo la definición de unas políticas de seguridad determinadas, sólo habrá que actualizarlas si cambia algo en la legislación o en la práctica empresarial."
Y como añade el responsable de Sophos en España, "los precios son muchos más razonables que antaño al igual que la gestión se ha ido simplificando. Pero también es cierto de que hay todavía quienes nos achacan a los fabricantes de antivirus de ser los creadores del malware. En este caso concreto, nosotros no producimos las brechas de inseguridad, sino el hecho constatado de que cada mes se pierden en Barajas 800 portátiles y smartphones, o que aún cuatro de cada cinco ordenadores corporativos no están cifrados".
La edad de oro del cifrado
Todo esto supone una oportunidadde negocio de unos 700 millones de dólares para el año que viene en todo el mundo, según Forrester. Un mercado donde las grandes corporaciones ya están adaptadas pero queda mucha labor con las pequeñas y medianas compañías. Por tanto, un segmento clave donde el canal podría explotar un nicho con servicios de valor añadido, de confianza y que atañen al core del negocio. "No consiste únicamente en la venta del producto, sino que se adentra en el core business de las empresas convirtiéndose en un partner de valor", indica Pablo Teijeira.
Es cierto que desde Windows 7 ya se puede disponer de un cifrado nativo gratuito a nivel usuario particular, pero no es suficiente para una empresa cuyo mayor activo sean los datos que maneja. En la mayoría de los casos se va a requerir cifrado con una capa extra y una administración centralizada. "Sophos aborda el tema con una estrategia doble en la que priman la seguridad y el rendimiento sin que alguna suponga detrimento de la otra", señala su director general. "El cifrado nativo desde el sistema operativo ya supuso un cambio de paradigma, nosotros avanzamos hacia una gestión multiplataforma y multidispositivo, la clave está en el llavero imaginario que nos permita tener los datos seguros en todas partes".
