¿Cuáles son los riesgos de los datos personales en tu empresa?
Uno de los mayores retos a los que se enfrentan las organizaciones hoy en día, es planear y prepararse para lo inesperado, especialmente para los incidentes que comprometen los servicios que ofrecen, así como la información que reguarda el responsable, inclusive, los datos personales, poniendo en riesgo a su titular. Alguno de los incidentes más comunes son los siguientes: 1. Robo de información en documentos y medios de almacenamiento desechados incorrectamente. 2. Empleados que acceden a datos personales sin la autorización correspondiente. 3. Empleados que revelan información a otras personas a través de engaños. 4. Robo o pérdida de equipos de cómputo, laptops, teléfonos inteligentes, tabletas, o memorias extraíbles con información personal. 5. Acceso ilegal a las bases de datos personales por un externo a la organización.
De manera general, algunos de los controles que se deben establecer para la gestión de incidentes son: Políticas: que respalden la creación y el funcionamiento del equipo de respuesta a incidentes. Elaboración del plan o estrategia: dependiendo de los mecanismos para detectar alertas de seguridad, se debe establecer una cadena de atención, revisión y aprobación de la mitigación de posibles incidentes de seguridad. Comunicación: Durante cualquier etapa de la atención de un incidente, se debe mantener comunicación entre los miembros del equipo de respuesta, y otras partes interesadas como la alta gerencia o autoridades. Documentación: Se deberá establecer un proceso y los formatos necesarios para documentar cada descubrimiento o acción realizada en atención a un incidente de seguridad. Es importante que esta documentación considere un almacenamiento ordenado y sistemático, que responda al qué, cómo, cuándo, dónde, y porqué de los incidentes de seguridad atendidos. Para mayor referencia, en el Anexo 1 de este documento se encuentran los formatos para la respuesta a un incidente. Control de acceso: El equipo de respuesta a incidentes debe de contar con las credenciales necesarias para tener acceso a cualquier activo involucrado en un incidente de seguridad. Es importante mencionar que, dependiendo del tipo de activo, el nivel de acceso deberá estar restringido al grado de conocimiento técnico para extraer información sobre el incidente. Por ejemplo, el administrador de redes debería ser la persona designada para apoyar con las alertas de seguridad en un equipo de cómputo, mientras que el jefe de archivos debería ser el encargado de documentar la falta de un expediente físico. Herramientas: Es altamente recomendable tener hardware y software destinados a atender una alerta de seguridad, y comenzar la mitigación en caso de confirmar un incidente. Dependiendo de los activos del responsable, y de las medidas de seguridad existentes, estas herramientas pueden incluir de manera enunciativa, más no limitativa, los siguientes elementos: antivirus portátiles, discos duros y memorias USB, software para analizar tráfico de red, así como, desarmadores y pinzas. Además, se pueden tener listas de revisión generales, como la que se proporciona en el apartado 5. Lista de revisión para la respuesta a incidentes, y algunas listas específicas con comandos a ejecutar para sistemas operativos y herramientas.
Por ello, es importante que la empresa en general adopte una cultura de la ciberseguridad y tome medidas de protección contra el malware, tales como: • Ser cauteloso con los mensajes de desconocidos. Se debe evitar descargar archivos o dar clic en enlaces, imágenes o contenido proveniente de fuentes desconocidas, sin importar el servicio de mensajería utilizado, por ejemplo, SMS, WhatsApp o bien correo electrónico. Incluso se debe ser cuidadoso cuando un contacto conocido envía información no solicitada, utilizando mensajes de alarma o provocativos. • Verificar en lugar de confiar. Cuando lleguen mensajes relacionados con entidades de gobierno, por ejemplo, la renovación de la visa, el pago de impuestos, o ser apercibido por la policía. O bien, se reciben comunicaciones provenientes aparentemente de servicios, como telefonía o tarjetas de crédito, se recomienda contactar directamente a la entidad o visitar su sitio web y nunca dar clic a la liga que se proporciona en el mensaje. • Mantener actualizados los dispositivos y utilizar software antivirus. Todos los dispositivos y equipos de cómputo tienen que estar actualizados, tanto en sus Sistemas Operativos como en sus programas y aplicaciones, esto a fin de disminuir el tiempo de exposición en caso de que exista alguna vulnerabilidad no mitigada por el fabricante. En este sentido, también es importante evitar el uso de software pirata, debido a que este podría no recibir las actualizaciones necesarias para protegerse de malware, o incluso ya estar infectado desde su origen. • Realizar respaldos de la información. Se deben hacer copias de la información crítica de manera periódica. Además, los respaldos deben realizarse ordenadamente y por versiones, es decir no se recomienda sobrescribir la información en cada nuevo respaldo, sino tener al menos las dos últimas versiones de la copia. De manera que, si se tuviera que recuperar información de un dispositivo debido a malware, y también el último respaldo estuviera infectado, se pueda recurrir a la penúltima versión.
Con nuestro departamento de protección de datos personales te asesoramos de la forma indicada para que puedas tener los datos de tus clientes protegidos y evites altas multas o ataques a tus sistemas, el que seas una pequeña empresa no quiere decir que no puedas ser propenso a un ataque a sus sistemas, depende muchos de los clientes que tienes en tu empresa para ser jaqueado, también existe muchos más riesgos de manera interno con el robo de información, identidad, intelectualidad, procesos de utilidad entre otros, asesórate de los expertos en la materia
[simple-author-box]
