Políticas de protección de datos empresariales: aproximación práctica

Políticas de protección de datos empresariales: aproximación práctica

Tiempo de lectura estimado: 9 minutos


Esta conferencia magistral pertenece al Módulo 16 "Ciberseguridad y Data Science" de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer las políticas necesarias para proteger los datos de una organización y las claves de un buen protocolo de seguridad de datos.

La información en las empresas

Las empresas actuales realizan múltiples operaciones, todas ellas registradas y almacenadas digitalmente, tales como:

  • Operaciones mercantiles.
  • Regulación de su funcionamiento.
  • Nuevos proyectos e innovaciones tecnológicas.
  • Datos de carácter personal de clientes, proveedores...

Hay que tener en cuenta que la información es un activo muy valioso, por lo que debe ser confidencial para las empresas y estar protegida por diversas legislaciones.

El acceso que tienen los empleados a la información debe cumplir cuatro premisas:

  1. Debe ser un acceso completo a toda la información necesaria para realizar las labores correspondientes dentro de la organización.
  2. También debe ser limitado, es decir, solo quienes necesiten la información para desempeñar su trabajo estarán autorizados a acceder a ella.
  3. Del mismo modo, debe ser controlado, es decir, se ha de registrar el acceso a la información.
  4. Por último, debe estar protegido, evitando así accesos indebidos no autorizados.

Data Governance

La gobernanza de datos es una estrategia para la administración correcta y la gestión de la política de datos en la organización. Esto va a permitir realizar una gestión efectiva y eficiente de la información de la entidad, además de permitir evitar incoherencias en la información y asegurar la calidad de los datos.

Los objetivos de la gobernanza de datos pasan por generar valor en base a la explotación de la información, ceder el control de los datos de carácter personal a sus propietarios, aplicar medidas técnicas para garantizar la confidencialidad de la información y garantizar la calidad de la información, lo que afectará a la toma de decisiones en la organización.

En la gobernanza de datos, una parte fundamental son los datos de carácter personal, con los que hay que tener especial atención, cumplir con los principios de protección de datos y garantizar que los interesados puedan ejercer sus derechos. Además, existen factores críticos como la responsabilidad estratégica del proceso, el uso y definición de estándares, el uso de métricas y la formación y sensibilización del personal.

La política de protección de datos

A la hora de proteger los datos, en el ámbito de la ciberseguridad y la privacidad, hay principios básicos como conocer qué tipo de información se está tratando, designar responsables de la protección, identificar posibles amenazas y valorar la posibilidad de que se produzcan dichas amenazas.

Claves de un buen protocolo de seguridad

Existen diversas claves para definir un buen protocolo de seguridad de la información, y una de ellas son las copias de seguridad. Deben ser periódicas y realizarse sobre toda la información, así como comprobar, también periódicamente, que su funcionamiento es correcto. Lo preferible es que las copias se alojen de forma remota, cumpliendo el estándar mínimo de los 10 kilómetros, así como que sean fáciles y rápidas de restaurar.

Otro punto importante del protocolo es, lógicamente, lo referente a las contraseñas. Estas deben ser robustas, hay que evitar que se mantenga la misma durante largos periodos de tiempo y se deben añadir métodos adicionales como el doble factor de autenticación.

Hay que prestar especial atención al correo electrónico, ya que es el medio de comunicación más utilizado entre organizaciones, por lo que es recomendable aplicar filtros (antispam, antispyware...) que eviten la entrada de elementos dañinos. También es recomendable encriptar los mensajes confidenciales, que los protegerá de accesos no autorizados.

Atención especial: usuarios, segmentación y registro

La gestión de usuarios mantiene la relación entre las personas y la información de la organización. Así, cancelando un usuario se cancelará la relación entre la información y la persona. Un usuario identifica a una persona, regula su método y restricciones de acceso y permite la agrupación en grupos o perfiles, determinando las operaciones que se pueden realizar.

En cuanto a la segmentación, es importante tener en cuenta que no todas las personas tienen que acceder a toda la información de la organización. Por esta razón, es importante segmentar el acceso a la información, bloquear accesos no autorizados y reducir sensibilizaciones por la mala interpretación. 

Por último, los accesos a la información deben registrarse, de hecho, las leyes obligan a registrar ciertos accesos, como los accesos a datos de carácter personal. Los registros o logs han de ser remotos y protegidos, accesibles en solo lectura, verificables y no dar lugar a la interpretación, sino indicar hechos claros. 


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Juan Antonio González Ramos

Juan Antonio es, desde 1996, programador de los Servicios Informáticos de la Universidad de Salamanca, ocupando los cargos de webmaster de la Organización (2000-2005), responsable de alojamiento de sitios web (2005-2010) y responsable de la Unidad de Sistemas (2010-2020). Actualmente ejerce como analista de datos de marketing en el Servicio de Innovación de la Universidad. También colabora en la docencia de diversos másteres de la Universidad de Salamanca (Desarrollo Comunitario en Nuevas Tecnologías, Servicios de Información y Desarrollo e Información Juvenil). Además, es asesor en el programa Próxim@ de Castilla y León para la distribución de Centros Tecnológicos.