Implantar y mantener un marco sólido de privacidad y protección de datos es crucial en el mundo de la empresa.
Y hoy, más que nunca, especialmente para las que hacen un uso intensivo de datos, como VFS Global, el mayor especialista mundial en externalización de visados gubernamentales. Para cumplir con ello, esta compañía cuenta con un exhaustivo Sistema de Gestión de la Seguridad de la Información (SGSI) que garantiza que todas las sedes están certificadas según la norma internacional de oro ISO/IEC 27001:2013.
Para entender la complejidad del cumplimiento corporativo del Reglamento General de Protección de datos, en los dos últimos años, se han añadido más de 100 nuevas normativas sobre privacidad promulgadas en todo el mundo.
A esto, además, se ha sumado el resto de funcionar con todas las garantías con las oficinas vacías durante más de un año, y las empresas bajo presión para mantenerse a flote cumpliendo con todos los protocolos y sus actualizaciones.
“El factor más importante en esta nueva realidad es contar con una red sólida y estratificada de infraestructura digital, que pueda escalar en proporción a las necesidades de trabajo a distancia. Esto ha empujado a las empresas a reestructurar las áreas críticas de funcionamiento y a trabajar para alinear los objetivos empresariales con los imperativos de seguridad” explica Barry Cook, director de Protección de Datos de VFS Global.
La seguridad de los datos debe integrarse en el diseño y el funcionamiento de todos los procesos, garantizando que siga siendo un elemento integral de todos los productos y servicios.
Los profesionales de la ciberseguridad ya no pueden permitirse el lujo de trabajar de forma aislada, sino que deben trabajar para establecer la protección de datos como una función horizontal incrustada en el negocio real, en lugar de una función aislada de backend impulsada por TI, y debe estar presente en todo el proceso de protección y gestión.
Recomendaciones para una buena gestión de la protección de datos
a) Que la política contemple las necesidades específicas y los riesgos particulares en el acceso a la información desde fuera de la organización. Esta política debe ser comunicada de forma efectiva a los trabajadores, definiendo responsabilidades y obligaciones a través de guías o formación.
b) Elegir soluciones fiables y con plenas garantías de seguridad para no poner en riesgo los datos personales y las bases de datos de la empresa. Esto implicaría, entre otras cosas, mejorar la seguridad del correo electrónico, la autenticación multifactorial, configuraciones robustas de seguridad en la nube, la rápida corrección de errores…
c) Elegir de forma consciente quién accede a la información sensible, limitando, en la medida de lo posible y minimizando así los riesgos.
d) Revisar el estado de los equipos y dispositivos utilizados para acceder a la información sensible. Los sistemas deben contar con aplicaciones y sistemas operativos actualizados, así como evitar la descarga de aplicaciones gratuitas desde fuera de la organización para no poner en riesgo la seguridad de la información. A esto se suman los equipos de seguridad y los equipos de privacidad, que deben tener un tiempo de respuesta casi nulo para detectar y resolver los ciberincidentes, aplicar correcciones y mitigar los riesgos en tiempo real.
e) Disponer de un software para inspeccionar los USB o dispositivos externos que puedan proceder de terceros y que puedan suponer un riesgo en la labor de la organización.