Puedes ahorrarte problemas como la eliminación de la base de datos sin tener respaldo, la filtración de información de los clientes o el envío de correo basura desde tu dominio sin haberlo autorizado.
Para ello, ten en cuenta que las brechas de seguridad pueden ser aminoradas con un correcto análisis de riesgo y tomando las medidas necesarias en RGPD para el tratamiento de los datos.
Tipos de medidas de seguridad
Como bien sabes, el RGPD ha sido una ley diseñada para garantizar la protección de datos personales otorgando la prioridad a la seguridad, pero ¿Qué medidas se pueden tomar para la protección de la información por parte de las corporaciones y PYMES?
Para la seguridad de los datos se tiene en cuenta cualidades comunes, como las características de la técnica, el coste, el contexto de la aplicación, los peligros para los derechos y la posibilidad de que estos eventos ocurran.
Podemos dividir los tipos de medidas en dos grandes renglones: organizativas y técnicas.
Medidas organizativas
Estas medidas son aplicadas y explicadas al nivel de manejo del personal, haciendo énfasis en aquellos empleados que tengan acceso a datos personales como nombres, identificación, estatus económico o ubicación por los cargos que desempeñan dentro de la organización.
¿Qué medidas aplicar?
Comunicar sobre de los derechos de los titulares de datos
Es recomendable que sea de dominio público en una empresa los derechos legales que obtiene una persona sobre sus datos personales.
Aquí se incluye el derecho a la transparencia, al acceso, a la rectificación, al olvido, la oposición, entre otros. Es importante que se dé la respuesta más rápida posible al interesado sin poner excusas o demoras.
Solo debe ser necesario presentar el debido documento de identificación para atender los requerimientos del titular de los datos.
Se debe cuidar la privacidad de la información
Es decir, la información clasificada no debe caer en manos de personal no autorizado, esto se puede prevenir evitando dejar documentos que contengan datos personales a la vista pública y haciendo cierres de sesión en los ordenadores cada vez que se ausente una persona de su puesto.
Es recomendable que los soportes de seguridad puedan guardarse en sitios con un acceso limitado, y que al deshacerse de alguno de estos se garantice que han sido por completo destruidos sin dejar copias de seguridad no autorizadas.
La importancia de la confidencialidad de los trabajadores es fundamental, pues ellos aplicaran medidas como la no difusión por medio de correos o llamadas de datos personales. La confidencialidad debe mantenerse aun cuando las relaciones laborales hayan culminado.
Tener un plan a seguir en medio de violaciones de seguridad
Si llegara a producirse una situación en la cual se comprometiera la confidencialidad de los datos existentes, la primera acción a tomar es notificar en menos de 72 horas a la Agencia Española de Datos, presentando todo tipo de información para aclarar el hecho.
Medidas técnicas
Es necesario que se fomente la prevención, ya que es más costosa la actuación después del suceso. Algunos ejemplos:
- Deben mantenerse actualizados los dispositivos que almacenen o utilicen información personal.
- Encriptar los datos para salvaguardarlos en caso de que ocurra un intento de acceso no autorizado a la información.
- Se debe contar con un firewall activo y software anti-maleware y anti-spyware para evitar el uso remoto en aquellos equipos en donde se almacene o utilice la información
- Implementar el uso de contraseñas seguras que incluyan mayúsculas, números y símbolos para el acceso a información personal almacenados en los sistemas.
- Crear una copia de seguridad aparte de la ya utilizada en los ordenadores, que sea segura y que sirva de respaldo en caso de la pérdida o destrucción de los datos.
- Reducir al máximo el personal con acceso a contraseñas que lleven a información privilegiada.
- Utilizar nombres de usuarios para proteger la identidad de clientes.
Frecuencia y revisión de medidas
El RGPD no dispone algún tipo de procedimiento a seguir para aplicar medidas de evaluación y revisión.
Lo que si dispone este es la figura del DPD, el cual está obligado a garantizar la aplicación del reglamento en la política interna, incluyendo velar por la realización de auditorías.
Las medidas pueden ser auditadas de forma manual o utilizando mecanismos como sotfwares, pero estas no pueden ser llevadas a cabo por el DPD porque comprometería su independencia.
¿Cómo saber la frecuencia para verificarlas? Pues dependerá del resultado de los análisis de riesgos hechos anteriormente, que permiten elaborar un traje a la medida de las necesidades y acortar brechas de seguridad. En estos casos se recomienda estar alerta.
Innovación de sistemas de seguridad
Con el avance tecnológico y la creación de nuevas aplicaciones es necesario el desarrollo de recursos sostenibles que eviten que estos avancen representen una posible vulnerabilidad en los sistemas de seguridad. Algunas innovaciones a tener en cuenta son:
- Almacenamiento en nubes privadas o hibridas: Esta opción ofrece un mayor alcance en cuanto a la defensa, diseñada para resguardar información contra vulnerabilidades.
Cuenta con una infraestructura más segura que la que puede proveer un espacio físico o dispositivos de almacenamiento masivo.
- Moderación de la tecnología para algunos usos: Existen tecnologías que acceden a información personal mediante el reconocimiento facial, por eso se ha ido adaptando según su uso, para proteger la identidad que será almacenada en dispositivos de video-vigilancia.