¿Necesitas sentirte seguro? ya sabes, protegido, cuidado, a salvo de riesgos y amenazas.
La seguridad es una necesidad de primer grado: todos necesitamos sentirnos a salvo, los negocios también.
¿Que estas haciendo para proteger al tuyo?
En el post anterior de hablé de como convertir la LOPD en la mejor aliada para reforzar la seguridad de tu negocio, porque aunque creas que no, tu negocio es vulnerable.
Ahora quiero explicarte como puedes reducir los riesgos y amenazas en tu negocio.
Eres un caramelito para el ‘malware’, asume tus riesgos
Lo afirman no pocas investigaciones e informes como indica este árticulo del Confidencial.
¿Porque? Justamente, porque las empresas pequeñas son las menos concienciadas y las mas fáciles de atacar debido a su falta de medidas de seguridad.
¿Quieres seguir creyendo que a ti no te va a pasar?
Hace unos días leía ojiplática otro reciente informe (publicado este 24 de abril de 2015 ) del Centro de Ciberseguridad Industrial, que una de cada diez organizaciones industriales en España sigue sin evaluar de modo alguno sus riesgos informáticos, lo que para mi significa seguir siendo «bellas durmientes»
Solo un 17% cuenta con un plan de gestión de seguridad, es decir, de momento, los PRO-evolution se reducen al 17%.
Así que por pura estadística, es mas que probable que tu seas una bella durmiente también.
Ninguna empresa es 100% segura, ni las mayores corporaciones están exentas de ataques, pero si puedes hacer varias cosas para preservar activo que es la información de tus clientes.
Los activos informáticos de tu negocio
Te resumo a grandes rasgos cuales son los datos mas valiosos que maneja tu negocio y susceptibles de amenazas:
- Bases de datos de clientes, proveedores, empleados, seguidores, suscriptores, etc. Contienen toda la información de las personas relacionadas con tu negocio y constituyen tu principal activo. También tu principal responsabilidad ya que cualquier filtración respecto a esta información supone vulnerar el derecho a la intimidad de los afectados.
- Datos contables y financieros. Es toda información relativa a transacciones y situación económica de tu empresa.
- El know how, encierra tu estrategia de negocio y tus planes de negocio. Es tu máxima conquista, todo lo que has desarrollado para que tu negocio sea único, también es objeto frecuente de filtraciones y robos.
En este vídeo puedes ampliar la información sobre los activos de Seguridad de la Información y que están en riesgo en tu negocio, tangibles o intangibles.
¿Qué puedes hacer para evitar asumir riesgos innecesarios?
Debes ser consiente que con el avance de la tecnología, los infinitos soportes que la gestionan y su utilización masiva, los riegos se han multiplicado y las posibilidades de meter la mata también.
También debes asumir la responsabilidad que supone gestionar información personal de otros.
Requisitos que garantizan la seguridad de la información
Quizás estés pensando que la información que gestionas está completamente segura, lo estará siempre y cuando puedas garantizar:
- La confidencialidad: la información no debe ser jamás revelada a terceros no autorizados y para compartirla, debes establecer las condiciones adecuadas. ¿Tus empleados y colaboradores están preparados para cumplir este requisito?
- La disponibilidad: Siempre ha de estar disponible para los fines a los que está destinada, no solo para tu negocio, también para los titulares de los datos que gestionas, por tanto, deberás asegurar ese requisito para que en caso de contingencias, siempre puedas disponer de esa información, como copias de respaldo o unidades de recuperación.
- La integridad: La integridad consiste en que la información no puede sufrir alteraciones de ningún tipo y para ello, debes asegurarte de que sólo los usuarios autorizados puedan alterar (modificar o borrar) los datos.
Como minimizar los riesgos para ser un Pro-Evolution
Primero: Adquirir conciencia
Parece una obviedad pero no lo es.
No hay día que no me quede patidifusa con algún comentario, post u opinión relativizando la importancia de la seguridad en la información personal de los demás. La LOPD para muchos sigue siendo algo que no les queda más narices que cumplir para que no los pillen sin confesar.
La conciencia del respeto, la ética y el compromiso que debemos asumir con las personas que se relacionan con nuestro negocio es parte inherente de la cultura LOPD.
Puede que seas ético, honesto y estés comprometido con una cultura del respeto a la información de los demás sin haber realizado una adecuación formal a la LOPD, pero es imposible que estés adecuado a la LOPD si no asumes esos valores (aunque formalmente hayas realizado un proceso de adecuación).
Segundo: Formar y comprometer a los empleados
En un proceso de implantación de LOPD, para mi este punto es clave. La formación de los empleados con acceso a datos personales es indispensable para minimizar riesgos en cuanto a la seguridad.
Es imprescindible implicar a toda la organización en las medidas de seguridad que debe realizar la empresa respecto al tratamiento de información personal. En este sentido, transmitir adecuadamente a los empleados sus obligaciones y procedimientos es un requerimiento imprescindible para una adecuación sólida y efectiva.
Se les debe explicar cuáles son los requisitos obligatorios para proteger los activos en tecnología e información.
También se les debe facilitar una «Política de Uso Adecuado». Esta debe declarar lo que los usuarios deben y no deben hacer con los distintos soportes, con la información que tratan, con los medios de tráfico y transmisión de información como el correo electrónico o las redes sociales.
La conciencia del respeto, la ética y el compromiso que debemos asumir con las personas que se relacionan con nuestro negocio es parte inherente de la cultura LOPD.
Deben definirse claramente las áreas de responsabilidad de usuarios, administradores y directivos.
Tercero: Generar mecanismo de autenticación
Se debe exigir el reconocimiento de la identidad de los empleados para establecer los accesos a la información, asignar los permisos correspondientes y delimitar las acciones que se pueden ejecutar respecto a la información a la que tienen acceso.
Cuarto: establecer Medidas organizativas de los sistemas y preventivas
Debes generar protocolos de seguridad óptimos y adecuados para el tipo de información que gestionas, tener un plan de contingencias por si sufres alguna brecha de seguridad, cifrado de la información, políticas de seguridad respecto a redes inalámbricas o cloud computing.
Por supuesto, la mejor protección consiste en volcarte en prevenir, no hay amenaza que no se pueda minimizar si tienes implantados procedimientos de respaldo y recuperación adecuados y has incorporado protocolos de seguridad lo bastante robustos, algo que forma parte fundamental de una implantación de la LOPD en tu negocio.
Imagen: Alberto Martín