Muchas empresas dependen ahora completamente de los datos almacenados en sus servidores de red, ordenadores, portátiles, dispositivos móviles o en la nube. Es probable que algunos de estos datos contengan información personal o confidencial de la empresa.
Aquí analizamos algunos aspectos a considerar al revisar la seguridad de sus sistemas informáticos y cómo minimizar los riesgos de pérdida de datos. Disponemos de una hoja informativa relacionada que incluye consideraciones adicionales para quienes tienen datos en la nube o utilizan algún tipo de externalización.
Se han producido numerosos incidentes de pérdida de datos de gran repercusión mediática, en los que grandes volúmenes de información personal han llegado al dominio público. Estos incluyen historiales médicos, registros financieros y datos de empleados.
Una organización comercial también enfrenta el riesgo adicional de perder datos a manos de un competidor.
Obviamente, las grandes pérdidas de datos de departamentos gubernamentales y corporaciones han sido noticia. Sin embargo, cualquier empresa, sin importar su tamaño, podría sufrir una pérdida de datos si no se toman precauciones adecuadas.
Durante 2021, aproximadamente el 39 % de las empresas del Reino Unido sufrieron algún tipo de violación de seguridad o ciberataque, según un estudio encargado por el Departamento de Cultura, Medios de Comunicación y Deporte (DCMS). El informe está disponible en: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 .
Auditar el uso y almacenamiento de datos personales
Considere los datos potencialmente sensibles y confidenciales que almacena su empresa:
- registros del personal con fecha de nacimiento, información médica, salario y detalles de la cuenta bancaria, etc.
- registros de clientes y proveedores con detalles de cuentas bancarias/de tarjetas de crédito, números PIN, contraseñas, información de transacciones, información de contratos, descuentos y precios
- datos financieros y de rendimiento y planes de negocios
- Los datos confidenciales no siempre se almacenan convenientemente en una base de datos segura. A menudo, los empleados necesitan crear y distribuir informes ad hoc (utilizando hojas de cálculo y otros documentos) que suelen ser extractos de información almacenada en una base de datos. Este tipo de recuperación de datos suele realizarse a costa de la seguridad de los datos, ya que la propia base de datos invariablemente tendrá controles de acceso, pero estos informes ad hoc no suelen tenerlos.
- Descubra qué está sucediendo con los datos y qué controles existen para evitar la pérdida accidental o deliberada de esta información.
Análisis de riesgos y reducción de riesgos
La pregunta clave es: si se pierden todos o algunos de estos datos, ¿quién podría resultar perjudicado y cómo?
Una vez respondida esta pregunta, se deben tomar medidas para mitigar el riesgo de pérdida de datos. A continuación, se indican algunas medidas que se deben tomar para reducir el riesgo de pérdida de datos:
- Realizar copias de seguridad periódicas y almacenar los datos de respaldo de forma segura fuera del sitio
- Si se almacenan datos de alto riesgo en la nube, comprenda qué mecanismos de seguridad están implementados y cómo puede recuperar todos estos datos si es necesario.
- Revise el tipo de información almacenada en todos los dispositivos (incluyendo portátiles, móviles, tabletas, etc.) que se utilizan fuera de la oficina. Si dicha información contiene datos personales o confidenciales, intente minimizarlos o anonimizarlos. Asegúrese de que se apliquen los niveles más adecuados de seguridad y cifrado de datos.
- Si se permite el uso de dispositivos móviles en las instalaciones de la empresa, asegúrese de que exista una política activa de BYOD (Traiga su propio dispositivo). Además, implemente controles de seguridad adecuados para restringir el tipo de datos que se pueden almacenar en dichos dispositivos.
- Asegúrese de que los sitios web de las empresas que procesan pagos en línea cuenten con los niveles más altos de seguridad disponibles, como el uso de las últimas versiones de SSL para la transmisión de datos. Si no transfiere el proceso de pago a una pasarela de pago y almacena la información de la tarjeta de crédito, ya sea en disco o en la memoria de sus propios servidores, deberá cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
- Revisar el uso/disponibilidad de USB y otros medios grabables como dispositivos ópticos dentro de la empresa y pensar en restringir el acceso a estos dispositivos solo a usuarios autorizados, mediante configuraciones de seguridad adecuadas, cifrado de datos y controles físicos.
- Asegúrese de que los sitios web y las redes de la empresa se prueben para detectar vulnerabilidades ante ataques y considere contratar empresas de pruebas de penetración para que realicen estas pruebas en su nombre.
- tener un procedimiento para tratar información sensible y su eliminación segura una vez que los datos ya no sean necesarios, esto también debe incluir la eliminación de impresiones
- tener un procedimiento mediante el cual se pueda eliminar cualquier dato personal o corporativo almacenado en dispositivos móviles o se pueda retirar el acceso a ellos
- Capacitar al personal sobre sus responsabilidades, los procedimientos de seguridad de datos de la empresa y lo que deben hacer si se pierden datos.
- Capacitar al personal para identificar correos electrónicos fraudulentos, ransomware, malware y otras amenazas potenciales, así como los procedimientos que se deben seguir.
Violación de seguridad
Además de la reducción de riesgos, también es recomendable contar con procedimientos en caso de una brecha de seguridad. Estos deben centrarse en cuatro áreas principales:
- Un plan de recuperación y procedimientos para abordar la limitación de daños
- proceso de revisión de la recuperación para evaluar las posibles consecuencias adversas para las personas, cuán graves o sustanciales son y qué tan probable es que vuelvan a ocurrir
- Procedimientos de notificación: esto incluye no solo notificar a las personas afectadas o potencialmente afectadas. Si la brecha de seguridad implica la pérdida de datos personales, se debe informar al Comisionado de Información (ICO). Es posible que otros organismos reguladores y terceros, como la policía, los bancos y los medios de comunicación, deban ser informados.
- Después de la infracción: garantizar que se implementen medidas apropiadas para prevenir que vuelva a ocurrir algo similar, actualizar los procedimientos y capacitar o volver a capacitar al personal en consecuencia.
Recurso útil
Centro Nacional de Seguridad Cibernética (Reino Unido) – www.ncsc.gov.uk/guidance .
La amenaza cibernética para las empresas del Reino Unido – www.ncsc.gov.uk/cyberthreat .
