Una clienta nos informa que va a cambiar de ordenador y que ya no necesita el ordenador viejo y nos pregunta qué debe hacer para cumplir la LOPD.
En un ordenador de trabajo tenemos datos personales de clientes, proveedores, trabajadores de nuestra empresa, etc…
Para cumplir la LOPD tenemos que asegurarnos que una vez que el ordenador deje de estar bajo nuestro control, no contenga ninguno de estos datos personales, ni otros datos confidenciales.
La primera solución que se nos ocurre es eliminar las carpetas que contengan esos archivos, y a continuación vaciar la papelera de reciclaje.
Otra posibilidad es formatear el disco duro que contiene la información, aunque ello a veces representa volver a instalar el sistema operativo.
Si la persona que recibe el ordenador no es maliciosa, con eso bastaría. Pero si el ordenador llega a manos de alguien con más mala intención, puede utilizar programas de recuperación de archivos borrados y restaurar una buena parte de la información que hemos eliminado.
Para evitarlo, existen programas de BORRADO SEGURO de información de un disco duro.
Puedes buscar «Software de borrado seguro para Windows» (o Mac o Linux) y encontrarás distintas alternativas. Todos esos programas no se limitan a eliminar los enlaces a los documentos en la tabla de archivos del disco duro, sino que localizan dónde están esos archivos y realizan múltiples escrituras de datos para eliminar físicamente todo vestigio de los archivos que están eliminando.
Es un proceso más lento, pero en la práctica casi tan seguro como destruir físicamente el disco duro que contenía los datos que queremos eliminar.
Una alternativa que viene de serie en el sistema operativo Windows es el programa «Cipher.exe» que permite cifrar datos, pero también tiene una opción de borrado seguro.
Si utilizas el comando CMD para invocar la interfaz de comandos de windows y desde allí buscas la carpeta que quieres eliminar de forma segura, lo puedes hacer de forma sencilla.
Por ejemplo, si tu usuario de Windows se llama «pepe» seguramente tendrás todos los documentos, imágenes, en c:\Users\Pepe Si te sitúas en la carpeta c:\Users e invocas el comando «cipher /w:Pepe», borrarás de forma segura todos los archivos guardados en ese perfil de usuario. (Descargas, documentos, imágenes, etc),
La ventaja de utilizar esta herramienta es que te proporciona mucha más seguridad que eliminar los archivos y vaciar la papelera, pero no necesitas instalar nada (cipher viene de serie en Windows) y no tienes que formatear el disco y volver a instalar el sistema operativo y las aplicaciones desde cero.
Si deseas aún más seguridad, tienes que realizar un borrado seguro de todo el disco duro. Para ello existen herramientas open source como DBAN que pueden ejecutarse desde USB arrancables.
Tu empresa verse envuelta en un problema de hackeo con dos situaciones distintas:
Que le pagues a un hacker en vez de a tu proveedor.
Que algún cliente tuyo le pague a un hacker en vez de pagarte a ti.
Hay algunas medidas técnicas imprescindibles para que no hackeen tu correo electrónico:
Que las contraseñas de las cuentas de correo electrónico sean suficientemente seguras y si es posible que el acceso al correo utilice un segundo factor de autenticación.
Que los equipos informáticos que utilices tengan un sistema operativo actualizado y que tengan activado el antivirus.
QUE NO TE ENGAÑEN: No pagues al hacker: Paga a tu proveedor.
El eslabón más débil en la cadena de la ciberseguridad solemos ser las personas. Si un hacker envía un correo desde facturacion@provedor.com en vez de facturacion@proveedor.com es posible que muchas personas caigan en la trampa (la primera dirección tiene proveedor sin una “e”).
Por eso, además de recomendar la máxima atención a todos los empleados, es conveniente aplicar también algunas medidas organizativas.
Por ejemplo: Sólo pagaremos facturas a la cuenta registrada del proveedor. Si un proveedor nos pide que cambiemos la cuenta, confirmaremos la nueva cuenta:
Para ello le podemos pedir un pdf donde indique el cambio de cuenta y que tenga la firma digital de representante. (O bien del banco, o bien del representante legal de nuestro proveedor). OJO: Si se trata de un hacker espabilado, puede que aporte un certificado en pdf. Lo importantes es que comprobemos que se trata CON LA FIRMA DIGITAL VÁLIDA. Ejemplo:
Otra comprobación factible es llamar por teléfono al proveedor. OJO: Busca en internet su teléfono, pero desconfía del teléfono en la factura o en el correo, un hacker espabilado pondrá su teléfono en la factura y te confirmará encantado la cuenta para que le pagues a él.
QUE NO ENGAÑEN A TUS CLIENTES POR TU CULPA:
Si tu empresa tiene un dominio propio (ejemplo: miempresa.com) es importante que configures las DNS del dominio activando la política DMARC que indique a todos los servidores de correo electrónico del mundo, que sólo deben aceptar correos de los orígenes autorizados por tu empresa.
Esto es especialmente importante si emites facturas de más de 1000 euros a tus clientes.
Durante la próxima revisión anual tu consultor lo revisará y te informará de si tu dominio está correctamente protegido frente a ataques de phishing.
Activando DMARC en tu dominio te aseguras que ningún hacker engañe a tus clientes y proveedores, enviando mensajes en tu nombre.
El filtrado DMARC de servidor es la otra cara de la moneda. Tu servidor de correo electrónico debe tener activado ese filtrado para que los hackers no te engañen a ti (y a los usuarios de tu dominio).
Esta medida la debe implementar el administrador del servidor con el que tengas contratado el servicio de hosting.
Si utilizas un servidor con panel Plesk, es bastante fácil y directo, basta con ir a «Herramientas y Opciones», «Configuración del Servidor de Correo» y activar la casilla «Activar DMARC para comprobar el correo entrante» que por defecto viene desactivada en algunos servidores.
Para proteger aquella información más sensible, bien por reglamento o bien por decisión empresarial, es recomendable CIFRAR el soporte que la va a contener.
Hay muchas alternativas para cifrar el contenido de una carpeta o un dispositivo:
Cifrado nativo del sistema operativo
En sistemas Windows la herramienta de cifrado se llama Bitlocker, y sólo está disponible en las versiones profesionales de Windows (no en las versiones home)
En sistemas de Apple (Mac OSX), utilizar el programa FileVault para cifrar todo el disco o crear una partición cifrada
En sistemas Linux hay varias opciones. Desde cifrar una partición (la que contiene los datos) o sólo la carpeta personal de cada usuario
Otra opción es
Utilizar un programa de cifrado
Una solución para crear volúmenes (unidades) virtuales cifradas es VERACRYPT. Un software libre (open source) con versiones para Windows, Linux y Mac OSX.
