¿Cómo proteger los datos de tu empresa?

7 junio, 2021
¿Cómo proteger los datos de tu empresa?

Cuando hablamos de la protección de datos de una empresa, nos referimos a la seguridad de la información y protección de datos de carácter personal o mejor conocida ahora como: Ciberseguridad.

La Ciberseguridad y la privacidad de datos está cobrando cada vez mayor importancia, sobre todo en el ámbito legal, donde ya son muchas las leyes que hablan sobre la importancia de la misma y establecen directrices bastante estrictas en materia.

Por ejemplo, a nivel nacional, la protección de los datos tiene una importante presencia en una serie de leyes ( “nativas” u originarias de la Unión Europea), tales como:

  • Real Decreto 3/2010, de 8 de enero, Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (en adelante ENS)
  • Ley de Protección de infraestructuras Críticas; Ley 8/2011, de 28 de abril (en adelante LPIC)
  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Conocido como Reglamento General de Protección de Datos de Carácter personal (en adelante RGPD).
  • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 de servicios esenciales y Digitales; incorporada al ordenamiento jurídico español a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Y es que una empresa u organismo que no proteja sus datos se expone a riesgos operacionales importantes tales como no poder continuar con sus operaciones; a riesgos económicos, por ejemplo, por daños propios, a terceros o sanciones; y a riesgos reputacionales, entre otros riesgos.  De hecho, sus consecuencias pueden llevar, incluso, al cese de actividades y a la quiebra de la empresa.

Los principios de la protección de datos

Los principios básicos de la ciberseguridad que deben ser aplicados, incluyen tanto a  las pequeñas empresas, como a las medianas y las grandes. Lo que difiere son las capacidades humanas y económicas con las que las mismas cuentan al momento de enfrentarse a las ciberamenazas y a los ciberatacantes.

Estas capacidades se refieren a las herramientas, procedimientos y servicios según el volumen de empresa y gasto en tecnologías de las redes y los sistemas de información que manejan. Así, dichos principios básicos son:

  • Conocer qué tipo de información tratamos (datos importantes para la empresa, secretos comerciales, datos de carácter personal,..).
  • Valorar la información y clasificarla, es decir, determinar si esta es de carácter confidencial, publica, etc., ya que no se puede proteger adecuadamente lo que no se sabe que es importante. Toda empresa debe saber cual información se puede exponer y cual no, así como las consecuencias de perderlas.
  • Designar responsables de esa protección en las empresas.
  • Identificar qué amenazas se puede materializar. Ya sea esta materialización, de forma directa sobre la información o de forma indirecta, a través de los sistemas informáticos que la tratan.
  • Valorar cómo de probable es que se produzca y que impacto tendría sobre el negocio, de forma que se pueda estar preparado, incluso, para el peor de los casos. De hecho, nunca se puede olvidar que lo peor puede producirse, y que es por eso justamente que las legislaciones contemplan cada vez más y más ámbitos dentro de la ciberseguridad.

La importancia de la protección de datos hoy en día

Hoy en día existen entre 20.000 y 50.000 mil millones de dispositivos de internet de las cosas, los cuales crean ecosistemas en nuestras casas y empresas que representan más de una vulnerabilidad.

Estas vulnerabilidades tratarán de ser explotadas por los ciberdelincuentes para generarles beneficios a nuestra costa, por lo que debemos estar siempre alerta y prepararnos para lo peor

Cuando hablamos de prepararse para lo peor, nos referimos a tener copias de seguridad de toda información importante, saber qué empresas nos pueden ayudar a proteger nuestros datos, tener ciberseguros y mecanismos que te permitan operar aunque sea en la situación más precaria, mientras te recuperas de algún ataque.

Aquí el lema es “contra más prevención menor riesgo y contra mayor preparación para lo peor, menor impacto y mayor tasa de supervivencia empresarial.”

Estrategias para la protección de datos

Toda empresa genera mayor o menor información sobre su actividad, que conservan en forma de facturas, órdenes de compra, nóminas, etc. Dichos datos contienen información confidencial que requiere de seguridad para trabajar de forma segura y siguiendo las normativas vigentes sobre protección de datos. Por eso, Sermecon, especialistas en protección de datos, te recomienda aplicar las siguientes estrategias de ciberseguridad:

Limitar el acceso

Cuantas menos personas puedan acceder a una información, menos riesgo existe; por lo que la primera recomendación es que implantes sistemas para evitar dar datos innecesarios a clientes o usuarios.

Aplicar la política de acceso según necesidad es una de las mejores formas de minimizar el impacto del error humano en la seguridad de la información. Este principio del mínimo privilegio se puede implantar por medio del uso de perfiles, de manera que cada tipo de empleado sólo podrá acceder a determinada información según sea la que necesite para desarrollar su trabajo. Y es que mientras menos personas tengan acceso a determinada información vital de la empresa, menos serán las que puedan ponerla en peligro.

Por otro lado, también es bueno que limites el acceso a funcionalidades dentro del equipo, de manera que no todos se puedan descargar e instalar cualquier tipo de programa

Realizar copias de seguridad

Otro punto clave en materia de ciberseguridad es realizar copias de la información importante de manera periódica, de forma que se logre garantizar que se puedan recuperar los datos si ocurre alguna incidencia.

Los datos de la empresa pueden perderse o destruirse por causas de lo más variado, por lo que va a ser gran utilidad contar con un sistema de copias de seguridad. Aunque antiguamente estas copias eran físicas y se almacenaban en la propia empresa, hoy en día existe la alternativa de hacer un backup online que nos permita aprovechar la tecnología cloud para acceder a él cuando se quiera.

Además, apostar por una infraestructura cloud para la empresa te permitirá que las copias de todo el sistema se hagan cuando tú quieras y que incluso, sean inmediatas para algunos documentos.

Elegir contraseñas seguras

Debemos cuidar colocar claves con un alto nivel de seguridad para acceder a plataformas, como por ejemplo el correo electrónico o los servidores, de forma que estas corran menor riesgo de ser descubiertas por piratas informáticos.

Si es verdad que toda contraseña es hackeable; pero existen niveles y grados de seguridad. Tener una contraseña que se pueda adivinar es uno de los fallos más comunes y que más explotan los piratas informáticos; y es que en ocasiones les puede bastar usar la lógica para dar con ella. Mejor usa contraseñas alfanuméricas y robustas para evitarlo.

Proteger el correo electrónico

La mayoría de las comunicaciones de una empresa se hacen a través de loso correos electrónicos. Por lo tanto, se deben colocar filtros antispam y sistemas de encriptado de mensajes que aseguren la protección y privacidad de toda esa información.

Contratar un software integral de seguridad

También es muy importante armarse con un software de seguridad que contenga antivirus, antiespías, antimalware, firewall, etc., de forma que se pueda proteger la información en internet ante posibles ataques externos.

Además, es aún más importante que dicho sistema esté actualizado y que sea lo suficientemente potente como para el trabajo que debe realizar. Por ejemplo, un antivirus gratuito nunca es suficiente para los equipos de los empleados que manejan y almacenan la información más relevante.

Disponer de software DLP

Se trata de programas de prevención de pérdidas de datos para revisar que ningún usuario copie o comparta información o datos que no se debería.

Trabajar en la nube

Además de ser más cómodo y práctico, también es más seguro y cuenta con los sistemas de seguridad de la información que posee el proveedor de servicios.

Involucrar a todos los agentes

Es importante que todos estén al tanto de la importancia de la protección de datos y es que las medidas de seguridad informática de una empresa no solo atañen a los trabajadores, sino también a clientes o proveedores.

Por otro lado, un error habitual al pensar en la seguridad de la información en la empresa es centrarse exclusivamente en las amenazas externas, cuando muchas veces el enemigo está en casa. Y es que cualquier trabajador puede poner en riesgo la información por el simple hecho de enviar un correo a la persona equivocada o perder un dispositivo de almacenamiento USB sin cifrar con datos críticos de la empresa.

Por eso, debes organizar una charla con los empleados para explicarles la importancia de cuidar estos aspectos. Incluso, también puede ser muy útil crear un manual básico del uso de la información en la empresa que esté al alcance de todos.

Monitorizar la gestión de datos

Un sistema de control monitorizado permitirá detectar posibles fallos o actuaciones incorrectas y actuar más rápido cuando hay una incidencia, a la vez que minimiza su repercusión.