Recomendaciones para la protección de datos en las empresas

Avatar

La protección de datos es un pilar fundamental de una empresa cuya buena manipulación proporciona fluidez a la actividad económica. Los datos pueden ser de diferente índole, así como el destino de los mismos. En una empresa, los datos que se manipulan suelen ser: 

  • datos personales: para conocer la identidad de la persona
  • datos corporativos: información de las infraestructuras de la empresa, información corporativa de los empleados, información del producto, etc.
  • datos bancarios 

La responsabilidad de la seguridad de los datos a veces no recae sobre la empresa controladora, sino también sobre la empresa procesadora de los datos. Los estándares de seguridad nos ayudan a conocer el nivel de las medidas de seguridad de las empresas de antemano, sin tener que hacer mayor investigación y así agilizar el proceso de contratación. Toda empresa que desee emitir seguridad y confianza en el mercado, debería poseer el estándar de seguridad acorde al tratamiento que le vaya a dar a los datos.

Estándares de seguridad 

La externalización de servicios está a la orden del día en el mundo empresarial para complementar la actividad comercial de la empresa. Siendo así y dependiendo del tipo de servicio, la empresa cederá información a la empresa contratada para poder realizar el servicio de forma efectiva. La cesión de los datos conlleva un gran riesgo tanto para la empresa como para los titulares de los derechos. Antes de tomar la decisión, hay que asegurarse que la empresa contratada cumple con los requisitos de seguridad suficientes para garantizar la integridad de los datos. Uno de los métodos para agilizar el proceso de investigación es la posesión de Estándares de Seguridad. Los Estándares de Seguridad son certificados que pueden obtener las empresas mediante auditoría. Algunos de los Estándares más importantes son: 

  • Payment Card Data (PCI): es un estándar de seguridad para las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito. 
  • SOC: El control de la organización de servicios es un informe de seguridad requerido por la Declaración de estándares para los compromisos de certificación (SSAE) para definir cómo las empresas informan sobre los controles de cumplimiento. Existen tres tipos de SOC: SOC 1, SOC 2 y SOC 3.
    • SOC 1: es un informe de control para organizaciones de servicios, que se refiere al control interno sobre los informes financieros. Existen dos tipos:
      • Tipo 1: El informe describe el sistema de su organización y cómo funciona para lograr los objetivos establecidos.
      • Tipo 2: El informe tiene el mismo contenido que SOC 1 tipo 1 añadiendo una investigación más exhaustiva del diseño y procesos.
    • SOC 2: es un informe que evalúa el sistema de información empresarial relacionado con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.
    • SOC 3: es un informe de uso general y no proporciona los detalles del examen como SOC 1 y SOC 2. El informe SOC 3 se utiliza principalmente como material de marketing.  
  • ISO/CEI 27000 series: especifica un sistema de gestión que pretende poner la seguridad de la información bajo control de gestión y proporciona requisitos específicos. Las organizaciones que cumplan con los requisitos pueden ser certificadas por un organismo de certificación acreditado después de completar con éxito una auditoría.
  • EE.UU. y Swiss-U.S: Los marcos de protección de privacidad fueron diseñados por el Departamento de Comercio de EE.UU.,la Comisión Europea y la Administración suiza para proporcionar a las empresas a ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales de la Unión Europea y Suiza a los Estados Unidos en apoyo del comercio transatlántico.

Acciones recomendadas

La sensibilidad de los datos exigen unas medidas y políticas de seguridad que las compañías deben tener y cumplir, además de ser férreas y adecuadas al tipo de actividad de la empresa y los datos que vayan a procesar, almacenar o transmitir. Por tal motivo, existen estándares de seguridad que se encargan de verificar que las medidas de seguridad de las compañías son adecuadas para la protección de los datos y una legislación específica que regula las mismas.

Para conocer las medidas de seguridad adecuadas a la tipología de datos que la empresa va a procesar, es obligatorio conocer la legislación pertinente donde se regulen los derechos y obligaciones de la empresa respecto a la protección de datos. En el caso de los datos personales, se siguen las obligaciones que contempla la GDPR (General Data Protection Regulation) para las empresas que procesan o controlen los datos en la Unión Europea. El reglamento implanta un nuevo principio legislativo donde obliga a las empresas a tener una actitud más proactiva a la hora de tomar acciones periódicas y actualización del conocimiento de las posibles amenazas. Dichas obligaciones establecen que: las empresas con más de trescientos cincuenta trabajadores que tratan datos sensibles deben presentar un Registro de actividades a la AEPD (Agencia Española de Protección de Datos) donde se estipule la actividad económica de la empresa. Además tienen que validar la información almacenada mediante consentimiento individual y expreso del titular de los datos, informar la finalidad del tratamiento de los datos y facilitar el ejercicio de derechos al titular.

En las empresas cuyas actividades centrales consisten en operaciones de procesamiento que necesitan ser monitoreadas, debe haber un responsable de la protección de datos (delegado en protección de datos).

Es muy importante corroborar el nivel de seguridad de la empresa a la que se van a ceder los datos e informar al titular del destino de sus datos como comunicar las medidas de seguridad, durante cuánto tiempo se van a tratar y si van a ser transferidos internacionalmente a terceros.

En caso de subcontratar a una empresa para el procesamiento de datos, habrá que firmar un contrato de Encargado de tratamiento de forma expresa donde se especificarán una serie de instrucciones que sean acordes a las medidas de seguridad de la empresa. Puede ser una cláusula de confidencialidad pidiendo a la empresa contratada un IRP (Incident Response Plan), donde se exija la notificación en caso de brecha de seguridad y una rápida actuación ante un incidente de seguridad. La empresa responsable de los datos, debe notificar a la AEPD en un tiempo máximo de 72h la brecha para eximir de responsabilidad a la empresa demostrando las medidas de seguridad.

Es recomendable que las empresas realicen análisis de riesgos corporativos periódicos para conocer su estado de vulnerabilidad y los tipos de amenazas de las que puedan ser víctimas. Con esta información, se pueden resolver las vulnerabilidades y actualizar el sistema de seguridad preparándolo para las nuevas amenazas asegurando una continuidad de negocio. A partir del análisis de riesgos y del estado de la empresa, se debe hacer una valoración de impacto y determinar el impacto que tendría un ataque en la empresa.

Es de vital importancia implantar las medidas adecuadas puesto que si son víctimas de un ataque y la seguridad de los datos ha sido comprometida, dando a los atacantes la posibilidad de acceder a los datos, las instituciones pertinentes pueden aplicar cuantiosas multas que hacen tambalear la economía de la empresa, además de comprometer los derechos del titular de los datos.

En la medida de lo posible, sería de imperiosa necesidad la verificación del estado de las medidas de seguridad de la compañía a contratar a la par de un plan de actuación ante un incidente que contemple una rápida actuación ante una vulnerabilidad que pueda afectar a los datos almacenados.

Formación a los empleados 

Para conseguir una adaptación adecuada es recomendable formar al personal sobre las posibles técnicas de ingeniería social que usan los atacantes para acceder al sistema como:

  • Oversharing: filtrar información involuntariamente por tendencia a compartir excesiva información online
  • Phishing: conseguir las credenciales de los usuarios para poder acceder a la información.

Si el empleado utiliza un dispositivo donde puede acceder a la información (ya sea corporativo o personal), debe asegurarse que la integridad del mismo no se vea afectada. 

La competencia de formar a los trabajadores puede recaer sobre la misma empresa o recurrir a empresas especializadas en formación del personal en materia de seguridad cibernética como es A2SECURE

Autor: Leonardo Briones

Leave a Comment

qsahacking-etico-legal