El Cnil da amparo a 15 organizaciones por falta de seguridad

La CNIL se toma en serio la ciberseguridad. Habiendo hecho de este tema uno de sus famosos “temas prioritarios”, ha llegado el momento de hacer balance. Y decenas de oídos han pitado: la Comisión Nacional de Informática y Libertades ha llegado al final de su serie de controles en línea y documentales de más de veinte organizaciones francesas - 21 para ser exactos - en varios sectores (ministerios, universidades, municipios, hospitales , sitios de comercio electrónico, proveedores de servicios de TI, etc.). Con la clave de los trámites de notificación formal para 15 de ellos.

"Los avisos formales se relacionan con prácticas que no cumplen con puntos importantes de seguridad, lo que hace que las organizaciones sean vulnerables a ataques informáticos", dijo el Cnil en su comunicado de prensa. Los incumplimientos observados por la institución se refieren a la obligación general del responsable del tratamiento de proteger los datos personales tratados (artículo 32 del RGPD). Así como defectos en la encriptación o gestión de datos y seguridad de las cuentas de los usuarios.

Un plazo de 3 meses para elevar el nivel de seguridad

La comisión descubrió que muchas organizaciones permiten el acceso inseguro, solo HTTP, a su sitio web y usan versiones obsoletas del protocolo TLS, así como certificados de servidor y soluciones de cifrado que no cumplen. En cuanto a las cuentas de usuario, el Cnil "señaló principalmente la falta de dispositivos para rastrear conexiones anormales a servidores". Y en cuanto a la seguridad del acceso a las cuentas de los usuarios, la comisión señaló "el uso de contraseñas y procedimientos de renovación insuficientemente robustos que no aseguran suficientemente su transmisión y almacenamiento".

Las organizaciones notificadas tienen un plazo de tres meses para tomar cualquier medida para garantizar un nivel adecuado de seguridad, indica la CNIL. Al mismo tiempo, el organismo anunció que había cerrado 6 procedimientos en curso "justificados por la baja gravedad de los incumplimientos observados", lo que resultó en una simple carta para alertar a los controladores de datos sobre las medidas a implementar para cumplir completamente con el RGPD.