Directrices de Ciberseguridad y RGPD en un GMAO

Como recientemente hemos comentado en otra entrada en este blog, la ciberseguridad es un tema cada vez más importante debido a la rápida transformación digital del sector en los últimos años. En este ámbito, un GMAO no puede ser la excepción, tiene que tener elementos de configuración que nos permitan asegurar el acceso a los datos que tenemos almacenados en bases de datos. No debemos confundir los usuarios que acceden al GMAO con los usuarios que utilizan la aplicación para acceder a los datos de la base de datos.

Normalmente, una aplicación como un GMAO, que accede a los datos almacenados en una base de datos, requiere de un usuario y contraseña para poder conectar con el servidor de base de datos y logarse. A partir de ahí, la aplicación podrá acceder a la información que se almacena en las tablas de las bases de datos, entre ellas, tablas de usuarios y contraseñas de la aplicación y otra información confidencial. Cuando adquirimos una aplicación como un GMAO, tenemos que asegurarnos de cambiar las contraseñas por defecto que pueda usar la aplicación para acceder a la base de datos.

Ciberseguridad en un GMAO: Uso de Contraseñas Complejas

Para los usuarios de bases de datos, y dependiendo de la política interna de cada empresa, recomendamos el uso de contraseñas complejas:

  • Longitud de al menos, 12 caracteres.
  • Que contenga al menos un número.
  • Que contenga al menos, una mayúscula
  • Que contenga al menos, un carácter especial.

Si la aplicación tuviera algún fichero de configuración o conexión con base de datos vía ODBC, recomendamos la encriptación o enmascarado de la contraseña, evitando así el almacenamiento de contraseñas en un formato legible.

El GMAO debe permitir en su configuración parámetros para la gestión de la seguridad como son:settings

  • Período de cancelación de la cuenta; poder configurar una cantidad de días tras los cuales, si un usuario no accede al sistema, que se deshabilite la cuenta.
  • Forzar contraseñas complejas.
  • Bloqueo de la aplicación si no está en uso más de un cierto tiempo.
  • Días para el cambio de contraseña.
  • Mínima longitud de contraseña.
  • Número máximo de intentos antes de bloquear la cuenta.
  • Histórico de contraseñas. Número de contraseñas que se deben almacenar para que no se repitan.

Esta configuración hay que establecerla según la política interna de la empresa y, en el caso de no tenerla, recomendamos establecer una. Para más información, pueden revisar las recomendaciones de la ISO 27001:2013, de Seguridad de la Información.

Reglamento General de Protección de Datos

Otro punto a tener en cuenta es el RGPD (Reglamento General de Protección de Datos), por el que debemos restringir el acceso a datos sensibles como:

  • Raza de personas, origen étnico
  • Religión
  • Política, afiliación sindical
  • Salud, Genética
  • Vida sexual, orientación sexual
  • DNI, número de pasaporte, Libro de Marino
  • Biometría (cuando se utilice con fines de identificación)
  • Dirección, número de teléfono, correo electrónico
  • Información bancaria, salario
  • Familia, pariente más cercano
  • Efectos de tripulación

Sincronización de Bases de Datos

Si el GMAO que tenemos implantado permite la sincronización de bases de datos, hay que intentar excluir estos campos para que no sean replicados si no son estrictamente necesario y, si es posible, se recomienda su cifrado para el almacenamiento en base de datos.

Recordar que nuestro GMAO, AMOS Business Suite, permite configurar los parámetros necesarios para seguir con todas estas directrices, incluyendo la de eliminar los datos de un usuario que ya no pertenece a la empresa y así no almacenar sus datos. El programa sustituye la información de este usuario por datos aleatorios para que no se quede almacenado ni siquiera el nombre y apellidos de el ex-empleado,

Para más información en relación a cifrar conexiones ODBC pueden revisar este artículo o este de Microsoft.

Santiago Antón