Cómo proteger datos sensibles en una PYME y cumplir las obligaciones legales y éticas
Proteger datos sensibles se ha convertido en todo un reto para la pequeña y mediana empresa. La era de la movilidad, el fenómeno BYOD o la Internet de las Cosas, han incrementado de manera exponencial el número de dispositivos a proteger para evitar fugas de información en un entorno de acumulación masiva de datos.
Las previsiones de expertos han ido alertando de esta problemática y se están cumpliendo. Los ciberdelincuentes han mejorado la estrategia de ciberespionaje para rastrear y recoger datos valiosos en ataques dirigidos. Datos como los registros médicos se han convertido en una mina de oro para la ciberdelincuencia. Como ejemplo, citar que el sector de la salud es el que más ataques cibernéticos recibe en países como Estados Unidos.
Además de la obligación ética, la puesta en marcha del Reglamento General de Protección de Datos europeo, GDPR, ha aumentado la exigencia normativa para mejorar la protección de datos a todos los niveles y obliga a todas las empresas e instituciones que manejen y utilicen datos de cualquier persona física de la Unión Europea.
Aunque tiene apartados que benefician a las empresas en el sentido que ofrece un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE, no cabe duda que dificulta el cumplimiento de la normativa y los requisitos exigidos para salvaguardar completamente los datos de clientes y empleados.
Cómo proteger datos sensibles en una PYME
Aumentar la seguridad y respetar el derecho a la privacidad de los ciudadanos es sin duda un gran reto que exige proporción y equilibrio. Te dejamos con ocho consejos generales que pueden ayudar a una pequeña empresa a proteger los datos y minimizar la probabilidad de incumplimiento:
1.- Bloquear y proteger datos confidenciales de clientes, pacientes o empleados, especialmente datos sensibles e información personal identificable (PII) como números de seguridad social, registros médicos o datos de tarjetas de crédito.
2.- Restringir el acceso de los empleados a los datos sensibles con bloqueo de red especialmente en máquinas ubicadas en espacios públicos como áreas de recepción.
3.- Reciclar y destruir datos de clientes, pacientes o empleados cuando no sean necesarios, contenido en medios físicos y también virtuales como ordenadores o unidades de almacenamiento de segunda mano vendidas o desechadas.
4.- Implementar políticas de privacidad revisadas al menos anualmente y con capacitación del personal.
5.– Usar contraseñas. Toda la plantilla debe contar con nombre de usuario y contraseña cambiada al menos cada tres meses para evitar accesos no autorizados a los equipos informáticos. Conviene realizar auditorías de seguridad. También son recomendables los cortafuegos.
6.- Utilizar cifrado de datos ayuda a proteger la privacidad y seguridad de los equipos, especialmente en pendrives, portátiles, dispositivos móviles y unidades de copias de seguridad.
7.- Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
8.- Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones.