Cada vez es más habitual utilizar un lápiz de memoria o pendrive para llevar información sensible incluyendo datos de carácter personal.

El uso de pendrives implica dos tipos de riesgos: la pérdida de la información y la transmisión de virus informáticos, tanto desde un PC infectado al pendrive, como desde éste a los varios ordenadores a los que puede llegar a conectarse.

¿Sabes cómo proteger los datos almacenados en un pendrive? Pues no te pierdas este post donde te lo explico.

Protección de datos en pendrives

Desde que ha entrado en vigor el RGPD, la protección de los datos en las empresas es una preocupación esencial.

Para evitar incumplimientos de esta normativa y las correspondientes sanciones, varias empresas entre las que se encuentra IBM, han impuesto a sus empleados la prohibición de usar cualquier tipo de dispositivo de almacenamiento extraible. Los trabajadores deberán intercambiar los datos utilizando la red interna de la empresa, pero no pueden usar memorias USB o tarjetas SD.

Esta es una de las medidas con las que se evitarían tanto pérdidas económicas como reputacionales en caso de que ocurra una filtración de datos.

Estas memorias USB suponen un riesgos para la protección de la información ya que pueden ser robadas o perderse fácilmente. Y también es más complicado rastrear su uso.

Medidas para proteger la información de pendrives

Tampoco es necesario que las empresas prohíban el uso de estos dispositivos de almacenamiento. Es suficiente con que adopten las medidas de seguridad adecuadas para evitar incidentes de seguridad y cumplir la normativa de Protección de Datos.

El incumplimiento de esta normativa puede acarrear multas de hasta 20 millones de euros o el 4% del volumen total de facturación anual de la empresa. Ya ves que no es ninguna broma. Por eso, cuanto antes adoptemos los requisitos exigidos para la protección de la información manejada en la empresa mucho mejor.

A continuación, te indico las principales medidas de seguridad.

1. Concienciar sobre los riesgos a los empleados

Cada vez son más las noticias sobre cómo proteger los datos que manejamos. Pero no por eso debemos dar por hecho que los trabajadores conocen lo que deben hacer para proteger esa información. Debemos asegurarnos de que todos nuestros empleados saben cómo proteger la información que manejan a través de los pendrives. Y para ello es necesario realizar formaciones y concienciarles en este importante tema.

2. Cifrar los dispositivos extraibles

Cifrar consiste en una medida que cambia los datos por algoritmos de forma que ninguna persona sin autorización puede acceder a esos datos. Para ello se utiliza una contraseña para cifrar y para descifrar los archivos.

Al cifrar las memorias USB nos aseguramos de que esa información que contienen está más protegida.

En este caso, podemos cifrar cada archivo que contenga ese pendrive de forma individual, cifrar solo algunos de los archivos que se consideren más sensibles o cifrar el pendrive entero.

3. Conocer todos los dispositivos que están conectados a la red

Es recomendable hacer un inventario de todos los dispositivos extraibles, portátiles u ordenadores que están conectados a la red. De esta forma tendremos un mayor control de toda la información que se maneja en la empresa.

Herramientas para cifrar las memorias USB

Para evitar la posible pérdida de información, que puede suponer su uso fraudulento por otras personas y una grave sanción de la Agencia Española de Protección de Datos en caso de que se incluyan datos personales, se deberían encriptar los datos para evitar accesos no autorizados.

Programas como WinSCP Portable 4.2.5 y Rohos Mini Drive 1.5 son gratuitos y nos permiten cifrar archivos y carpetas con contraseña.

Kingston dispone de una memoria USB que ofrece una encriptación de datos en 256 bits basada en modo XTS, y a través del teclado alfanumérico es posible desbloquearlo. Concretamente el modelo DataTraveler 2000.

Veracrypt

Es uno de los programas de encriptación más utilizados. Ha sido calificado como uno de los mejores sistemas de encriptación existentes.

Esta herramienta incorpora un nivel de seguridad mucho más alto a los dispositivos USB al aplicar mejoras en los algoritmos con la finalidad de inmunizar las unidades cifradas a ataques de fuerza bruta los cuales tienen como objetivo descifrar las respectivas claves.

Gpg4win

Otra de las opciones gratuitas que podemos utilizar para las tareas de encriptación de las unidades en sistemas Windows.

Con Gpg4win todos los elementos que deseemos compartir, tales como carpetas, archivos o correos, estarán protegidos debido a sus niveles de encriptación y firmas digitales. Esto garantiza la integridad del contenido.

La encriptación protege el contenido de accesos no autorizados mientas que las firmas digitales nos permiten garantizar que el contenido no se ha modificado y proviene de un remitente seguro.

DiskCryptor

Se trata de una sencilla pero útil herramienta de código abierto con la cual podremos cifrar todas las unidades del sistema incluida la unidad del sistema operativo.

AxCrypt

Esta herramienta es considerada uno de los mejores softwares de encriptación para sistemas operativos Windows. Nos permite cifrar, comprimir, descifrar, guardar, enviar y trabajar con archivos individuales o grupales.

Además de las funciones anteriores, AxCrypt es un complemento para plataformas como Dropbox, Google Drive, Live Mesh, SkyDrive lo cual permite la encriptación de nuestros archivos en la nube.

BitLocker

Herramienta propia de Windows que nos permite usar encriptación AES de 128 bits junto a la tecnología TPM (Trusted Platform Module) para proteger el acceso a las unidades tanto internas como externas en el sistema. Para ello, es suficiente con dar clic derecho sobre la unidad a cifrar y seleccionar la opción Activar Bitlocker y seguir los pasos del asistente.

Para su protección ante virus y malware también disponemos de alternativas gratuitas: IObit Security 360 y MXOne Antivirus.

Espero haberte aclarado cómo debes proteger la información contenida en memorias USB extraibles. Pero si tienes cualquier duda me comentas.

Vota este artículo

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Saludos,
    Soy consciente de que llego cuatro años tarde a este artículo pero el caso es que acabo de revisar las 39-40 páginas de artículos que tenéis en la web en busca de una respuesta para los siguiente escenarios:

    –> «Google Forms» como medio de recopilar «Nombre», «Dirección de correo electrónico» y «Mensaje» con el fin de recopilar las consultas de los usuarios de una página web.

    –> Los mismos datos pero utilizando un formulario web propio que los transmita como mensaje de correo electrónico al responsable de la web.

    Tan sencillo como eso, pero sé si debo de «registrar un fichero» en la AGPD puesto que esos datos se enviarán a un buzón de correo electrónico.

    Ahora si; Respecto a este artículo solo mencionar que la aplicación WinSCP no sirve para cifrar un fichero y almacenarlo en un dispositivo de almacenamiento externo sino que lo que hace es permitir la transferencia de ficheros a través de una red haciendo uso de protocoles seguros. A grandes rasgos, el fichero viajaría seguro durante el trayecto pero en el extremo final tendríamos el fichero original sin ningún tipo de cifrado.

    1. Hola Tripichurla: ante todo muchas gracias por tu concienzuda visita, aunque me vas a romper las estadísticas del analytics xD

      Respecto a la cuestión, la respuesta es que indudablemente sí: las acciones que citas conformarían un fichero que habría que dar de alta en la Agencia (AEPD, que agpd es el dominio). Esto es así por recopilar datos como nombre o correo electrónico, independientemente del sistema elegido para su obtención y/o recepción.

      También te agradezco la rectificación sobre WinSCP, voy a modificar el post.

  2. jajaja, no era mi intención! xD
    Ahora que también me ha sorprendido (gratamente) que se responda a un post tan antiguo con tanta rapidez, muchas gracias 😀

    Pues según me comentas voy a tener que seguir informándome a ver de que manera llevar a cabo esto.. Que vaya, me parece muy «loko» que para tratar de facilitarle a los usuarios de una página (bastante sencillita) el ponerse en contacto con los responsables mediante un formulario en lugar de mediante correo electrónico directamente, se tenga que tratar esto como un fichero de datos personales que deba estar registrado, con su documento de seguridad, sus responsables.. buff.. que pateo!!

    Aunque viendo algunas de las sanciones y casos de ejemplo que he podido leer en esta página me da que debo de acostumbrarme a estas «lokuras» 😛

    En fin, gracias de nuevo por la información. Esta página se ha ganado un sitio entre mis marcadores aunque solo sea para tener miedo por las noches por si viene la AEPD a sangrarme ^^

  3. Si un trabajador pierde un pen raid con datos seosibles ¡¿quien es el reponsable ante la agencia d eproteccion de adtos, el trabajador o la empresa?

    1. Buenos días, la responsable siempre es la empresa ante la AEPD. Otra cosa son las consecuencias que pueda tener para ese trabajador a nivel de su empresa.