Expertos de GDPR explican cómo proteger los datos al desplazarse

Tendencias

Expertos de GDPR explican cómo proteger los datos al desplazarse

¿Qué tan seguros están los datos de su empresa fuera de su oficina? La Normativa de protección general de datos (GDPR, por sus siglas en inglés) entra en vigor este mes, lo que afectará a cualquier organización de todo el mundo que recopila y procesa los datos personales de los residentes de la UE. Aquí, los expertos que cumplen con la normativa de la GDPR lo asesoran sobre cómo proteger su empresa.

 

Si su empresa confía en los trabajadores a distancia, ya sabe qué tan importante es garantizar que los datos no tengan un mal uso, se extravíen o hagan malversación de ellos. Sin embargo, con la Normativa de protección general de datos (GDPR) que entra en vigor este mes (mayo de 2018), también es importante garantizar que cumpla los estrictos requerimientos de la normativa, o enfrentará daños financieros significativos y de reputación. De tal forma que, ¿cómo puede proteger sus datos mientras está sobre la marcha al tiempo que conserva los beneficios de una fuerza laboral realmente flexible?

1. Capacite a sus empleados

En palabras de la GDPR, su empresa es la "propietaria de la información" y sus empleados a distancia son los "gestores de la información". “Esto significa que tienen la misma responsabilidad que usted de mantener seguros los datos de la empresa”, afirma John Slaughter, especialista en conformidad de datos(1). “La conformidad de la GDPR debe ser una prioridad en sus funciones diarias, particularmente cuando trabajan a distancia”, agrega. “La clave es contar con lineamientos claros sobre el uso de redes seguras, para poder identificar y comunicar qué registros están restringidos para un entorno seguro”. Aconseja a los empresarios a capacitar regularmente, volver a capacitar y evaluar a los empleados para garantizar que entiendan estos asuntos y que sus prácticas estén actualizadas.

Las empresas también deben considerar recordar al personal que el wifi público no es de ninguna manera seguro. “Una persona no debería usar operaciones bancarias usando una red pública, por lo tanto, no deben tener acceso a documentos de trabajo confidenciales tampoco”, comenta Andy Kays, director de tecnología y especialista en la detección de amenazas y respuesta de Redscan(2). “Pida a sus trabajadores a usar solamente puntos de acceso wifi seguros o que se conecten a la red de la empresa a través de una conexión segura (VPN). También es buena idea conectarse a Internet a través de 4G (o llave electrónica), la cual proporciona a los empleados una conexión adecuada y segura al proveedor de servicios”.

2. Proteja todo con una contraseña

La GDPR probablemente tendrá el poder de imponer multas de hasta el 4 % de los ingresos globales de una empresa en caso de pérdidas significativas de datos. La única exención es si puede demostrar que los datos estaban cifrados correctamente.

“No existe algo que tenga una seguridad infalible, incluso la Nasa ha sido vulnerada”, comenta Andrei Hanganu, autor del kit de herramientas de documentación de la GDPR de la UE establecido en Rumania (3). “Pero una contraseña segura y soluciones adecuadas de cifrado ayudarán a mantener sus datos personales seguros contra usuarios no autorizados”.

La mayoría de las empresas cuentan con software para cifrar las unidades y cualquier archivo que se guarde en las mismas, pero esto no aplica automáticamente a los dispositivos remotos. Hanganu recomienda proporcionar el software de cifrado requerido para computadoras portátiles, dispositivos móviles y computadoras de escritorio personales; después, todo lo que el usuario requiere es un NIP o contraseña para tener acceso y descifrar los datos en una forma que se puedan leer. Todos los trabajadores deben tener el hábito de proteger todo con una contraseña.

3. Mantenga una limpieza cibernética

Los ataques de virus y el malware pueden recopilar y rastrear datos, lo que significa que caen también bajo la norma de la GDPR. “Con la dificultad de protegerse contra el malware, la mayoría de las empresas opinan que no hay peligro hasta que eres atacado”, afirma Nigel Tozer, director de marketing de soluciones EMEA en Commvault(4). Recomienda asegurarse de que los dispositivos de los empleados estén protegidos por los sistemas operativos más recientes y por un software antivirus.

“Los humanos siempre son el eslabón más débil en la postura de seguridad de una organización y pueden existir consecuencias devastadoras si un empleado hace clic en un enlace malicioso o no actualiza su sistema”, agrega Andy Kays. “Por lo tanto, es importante fomentar la toma de conciencia sobre los riesgos de la seguridad cibernética a través de la capacitación periódica de los empleados, particularmente con trabajadores a distancia que pueden tener acceso a datos corporativos y a servicios desde d dispositivos, lugares y redes”.

Las empresas también podrían considerar la implementación de sesiones regulares con el departamento de TI, donde los trabajadores proporcionan sus dispositivos móviles para realizar comprobaciones de seguridad, actualizaciones y mejoras de forma regular.

Expertos de GDPR explican cómo proteger los datos al desplazarse

¿Su organización cuenta con una estrategia para mantener seguros sus datos fuera de la oficina?

 

4. Recuerde la seguridad visual

“En un mundo tecnológicamente avanzado, es fácil olvidar que existen medios de bajo nivel tecnológico para que las personas roben los datos de su empresa”, afirma Orlagh Kelly, abogado experto y director ejecutivo de Briefed GDPR Training and Consultancy Specialists(5).

En un experimento realizado por 3M, un hacker encubierto fue capaz de obtener información confidencial con solo mirar por encima del hombro (ver la pantalla de otra persona) en 88 % de las pruebas.

“Motive a sus empleados a que hagan conciencia y tengan presente quién puede ver por encima de su hombro mientras trabajan fuera de la oficina”, comenta Kelly. Podría considerar proporcionar filtros de privacidad que se pueden instalar en una pantalla y bloquear la vista lateral de aquellos que están husmeando.

5. Conozca las limitaciones de la nube

Según un estudio del Instituto Ponemon, el 44 % de los datos corporativos almacenados en la nube no es administrado ni controlado por el departamento de TI. Como resultado, el estudio también muestra que el uso de los servicios de la nube puede aumentar la probabilidad de una filtración de datos por triplicado de $20 millones(7).

“Elegir el proveedor de nube correcto es muy importante”, comenta Nigel Tozer. “Tiene que saber exactamente la forma en que será gestionada una filtración de datos, ya que existen responsabilidades en ambos lados. Si todos los datos permanecen en la UE, su proveedor de nube debe garantizar que se mantengan ahí, de tal forma que cumplan con sus requerimientos legales. También debe comprobar que cualquier dato que salga de la UE esté protegido en relación con la GDPR”.

Tozer señala que, según la GDPR, si bien el proveedor de la nube es el procesador de los datos, su empresa es el regulador. “[Esto significa que] es su responsabilidad comprobar las credenciales del proveedor y asegurarse de que ofrezca las garantías suficientes para implementar la protección técnica y organizacional apropiada que cumpla con la nueva normativa de la UE”.

6. Respete la privacidad de sus empleados

Si actualmente usa herramientas o tecnología para supervisar la productividad de sus trabajadores a distancia, tendrá que considerar la forma en la que alinea sus buenas intenciones con la necesidad de proteger su privacidad, comenta George Harris, consultor de GDPR para DMPC Ltd(8). “[Supervisar al personal] es difícil de justificar en un escenario empresarial estándar”, afirma.

Bajo la norma de la GDPR, es delicado monitorear los dispositivos de un empleado (a través del registro de pulsación de tecla o la tecnología de seguimiento de mouse) sin infringir sus derechos de privacidad. Según el Grupo de trabajo del artículo 29: “Las tecnologías que monitorean la comunicación pueden […] tener un efecto intimidatorio en los derechos fundamentales de los empleados para organizar, programar reuniones de los trabajadores y para comunicarse confidencialmente (incluido el derecho de buscar información)(9).”

7. Prepare un plan de acción contra la filtración de datos

“Una filtración de datos puede incluir cualquier cosa, desde un ataque con malware que afecta una computadora portátil de alguna persona pasando por un empleado que olvide el teléfono del trabajo en el tren, hasta el hecho de que este envíe registros de correo electrónico por descuido a un grupo usando "Cc" en lugar de "Cco"”, comenta James Walker, director general de Jaw Consulting del Reino Unido, que se especializa en seguridad cibernética, protección y privacidad de datos(10).

Si bien su primer instinto es iniciar procedimientos para el control de daños, según la GDPR, la urgencia de hacerlo es mucho mayor. “Una organización tiene 72 horas para notificar, tanto a las personas afectadas como a la autoridad supervisora relevante, la filtración de datos, incluido el análisis de la probable consecuencia de dicha filtración y las medidas emprendidas o propuestas para mitigar los efectos negativos resultantes”, afirma Walker.

¿Recuerda esas multas del 4 % antes mencionadas? Eso es lo que podría suceder si no cumple la normativa. “La exención a este procedimiento de notificación detallada es si usted puede probar que la filtración no representará un riesgo a los derechos y libertades de personas físicas”, comenta Walker. “Mostrar que ha cifrado correctamente los datos tomará mucho tiempo y podría eliminar el requerimiento de incluso informar este tipo de incidente como una filtración de datos”.

 


Fuentes:

(1) https://datacomply.co.uk/

(2) https://www.redscan.com

(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/

(4) https://www.commvault.com /

(5) https://www.briefed.pro/

(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/

(7) https://www.ibm.com/security/data-breach

(8) http://dmpc.ltd.uk/

(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf

(10) https://www.jawconsulting.co.uk