Implantar y mantener un marco sólido de privacidad y protección de datos es crucial en el mundo de la empresa. Pero el marco legal que regula su cumplimiento corporativo es muy complejo. De hecho, en los dos últimos años el Reglamento General de Protección de Datos de la Unión Europea ha añadido más de 100 nuevas normativas sobre privacidad promulgadas en todo el mundo.
A esta complejidad normativa se ha sumado el reto de funcionar con todas las garantías con las oficinas vacías durante más de un año, y las empresas bajo presión para mantenerse a flote cumpliendo con todos los protocolos y sus actualizaciones.
“El factor más importante en esta nueva realidad es contar con una red sólida y estratificada de infraestructura digital, que pueda escalar en proporción a las necesidades de trabajo a distancia. Esto ha empujado a las empresas a reestructurar las áreas críticas de funcionamiento y a trabajar para alinear los objetivos empresariales con los imperativos de seguridad”, explica Barry Cook, director de protección de datos de VFS Global.
En su opinión, la seguridad de los datos debe integrarse en el diseño y el funcionamiento de todos los procesos, garantizando que siga siendo un elemento integral de todos los productos y servicios. En este sentido, Cook considera que los profesionales de la ciberseguridad deben trabajar para establecer la protección de datos como una función horizontal incrustada en el negocio real, en lugar de una función aislada de backend impulsada por tecnología de la información, y debe estar presente en todo el proceso de protección y gestión.
Sus recomendaciones para una buena gestión de la protección de datos son:
- Que la política contemple las necesidades específicas y los riesgos particulares en el acceso a la información desde fuera de la organización. Esta política debe ser comunicada de forma efectiva a los trabajadores, definiendo responsabilidades y obligaciones a través de guías o formación.
- Elegir soluciones fiables y con plenas garantías de seguridad para no poner en riesgo los datos personales y las bases de datos de la empresa. Esto implicaría mejorar la seguridad del correo electrónico, la autenticación multifactorial, configuraciones robustas de seguridad en la nube, o la rápida corrección de errores, entre otros factores
- Limitar, en la medida de lo posible, quién accede a la información sensible, minimizando así los riesgos.
- Revisar el estado de los equipos y dispositivos utilizados para acceder a la información sensible. Los sistemas deben contar con aplicaciones y sistemas operativos actualizados, así como evitar la descarga de aplicaciones gratuitas desde fuera de la organización para no poner en riesgo la seguridad de la información. A esto se suman los equipos de seguridad y los equipos de privacidad, que deben tener un tiempo de respuesta casi nulo para detectar y resolver los ciberincidentes, aplicar correcciones y mitigar los riesgos en tiempo real.
- Disponer de un software para inspeccionar los USB o dispositivos externos que puedan proceder de terceros y que puedan suponer un riesgo en la labor de la organización.