7 elementos de seguridad que la empresa debería plantearse añadir para cumplir con el RGPD
La ambigua redacción del RGPD que deja la puerta abierta a la empresa para que tome las medidas de seguridad suficientes para que los datos de sus clientes estén protegidos supone un problema para muchas de ellas. No tienen claro qué elementos de seguridad necesitan para no exponerse a una sanción por incumplimiento del RGPD. Pero lo que está claro es que la mayoría de ellas tienen que tratar de reforzar su seguridad.
Especialmente si han tenido algún incidente de seguridad en los últimos cinco años, que hayan afectado a los datos de los clientes. Basta con haber sufrido un problema con ransomware, algo desgraciadamente bastante común, como para tomar medidas de seguridad adecuadas.
1. Antivirus como protección del correo electrónico
Porque la mayoría de las pymes en el mejor de los casos tienen un antivirus de pago, que no todas. No tengo nada en contra de los que son gratuitos, siempre que sean eficientes y sobre todo estén actualizados. Y hasta aquí toda la seguridad.
Lo malo de las soluciones gratuitas es que en muchos casos no protegen el principal foco de infección para muchas organizaciones, el correo electrónico. Y es fundamental ayudar a los empleados a detectar un problema, o simplemente hacer que sospechen para no abrir un correo y menos ejecutar un programa que pueda comprometer la seguridad y datos de la organización.
2. Firewall y los accesos no autorizados
Proteger la empresa de los ataques externos es básico. Si no sabemos la cantidad de intentos de acceso que tenemos cada día difícilmente podemos mejorar nuestra seguridad. Hoy en día un Firewall diríamos que es casi una obligación para la mayoría de las pymes, y sin el casi para todas las que tratan datos sensibles o de especial protección.
Lo mismo podríamos decir de un router o switch que nos ayude a segmentar la red. Muchos pequeños comercios ofrecen WiFi a clientes sin separar la red de gestión, donde están los datos personales, de la red de clientes. Por lo que se pone en riesgo dichos datos.
3. VPN, básico si accedes desde el exterior o trabajas en casa
Si además tenemos empleados que se conectan desde casa, que trabajan en remoto, el uso de una VPN, que establezca un cifrado de las comunicaciones punto a punto se vuelve imprescindible. No se trata ya de conectarnos o no desde WiFis públicas, sino de mantener a salvo datos en las conexiones externas.
Puede que la WiFi de tu casa no sea tan segura como piensas
Es fundamental que no se puedan capturar credenciales de acceso, información confidencial o crítica para el negocio. El túnel de comunicación cifrado que nos facilita la VPN hace que este elemento de seguridad sea básico para todos aquellos que trabajan desde fuera de la oficina en algún momento.
4. Contraseñas y accesos, renovados con mayor frecuencia
La política que mantienen en espacial las pequeñas empresas, donde no se cambian las contraseñas durante años, donde todo el mundo conoce las credenciales de los demás tiene que cambiar. Hay que renovar las contraseñas de forma periódica, establecer políticas de bloqueo para x número de intentos, obligar a cambiarlas periódicamente y garantizar la trazabilidad en el acceso a los datos.
Tenemos que tener claro en todo momento quién accede a los datos de quién, desde que equipo, con qué usuario, etc. Y además establecer políticas del mínimo privilegio. Que los empleados solo puedan acceder a aquello que necesitan, no a todo por si un día tienen que hacer una consulta.
5. Gestores de contraseñas
En este sentido es muy habitual que las contraseñas de acceso estén en algún documento, sin ningún tipo de cifrado o en el navegador web. De esta forma todos los esfuerzos de van por tierra, ya que el acceso a dicho documento supone acceso ilimitado a información, no solo de la empresa a nivel interno, sino también en ocasiones financiera.
Es básico utilizar un gestor de contraseñas que cifre esta información, mejor si es de forma local que tenerlo en la nube. Si elegimos la segunda opción, es necesario asegurarse que cumplen con los requisitos del RGPD respecto al traspaso de información.
6. Cifrado de discos
Lo mismo podríamos decir del cifrado de los discos de almacenamiento. Una medida de seguridad indicada para toda empresa que tenga información sensible o datos de especial protección. No importa el tamaño, una pequeña consulta de dentistas tendría que cumplirlo por el tipo de datos que maneja.
En el caso de tener copias de seguridad que se saquen fuera de las instalaciones de la empresa, dicha información también tendría que ir cifrada, sin importar si son datos sensibles o no. Los programas de copias de seguridad son ahora fundamentales para restablecer los datos ante un incidente o brecha de seguridad.
7. Almacenamiento centralizado
Por último parece una cuestión de sentido común, pero el almacenamiento de los datos tiene que estar centralizado. De otra forma es casi imposible garantizar la seguridad de los datos. Por supuesto no pueden existir copias de estos datos personales dispersos por los ordenadores de la empresa.
Muchas de estas medidas parecen de sentido común, pero lo cierto es que muchas organizaciones mantienen un nivel de seguridad como si estuvieran con un grupo de amigos y no en una empresa. Y en muchos casos no es que pongan en riesgo los datos, sino la continuidad de negocio. No todas pueden resistir estar varios días sin trabajar por un problema de seguridad o perder los datos de facturación de los últimos 3 años porque no tenemos copia de seguridad.
Es complicado establecer hasta donde queremos llegar. La seguridad para la empresa va a suponer un gasto y muchas creen que no lo necesitan. Pero a poco que se produzcan las primeras sanciones empezarán a ponerse las pilas con los elementos de seguridad a implementar.
En Pymes y Autónomos | Por qué tu empresa tiene muchas posibilidades de ser sancionada por incumplir el RGPD
Imágenes | TheDigitalWay | joffi