Les nostres 10 recomanacions per a actuar davant una bretxa de privacitat
- Saber qué información personal tenemos, dónde está y qué estamos haciendo con ella. Els registres d’activitats de tractament ajuden a saber exactament quina informació personal necessitem protegir, i quan i on necessitem protegir-la. Quan i on recollim dades de caràcter personal? A on van aquestes dades? Qui pot accedir a ells? Què es fan amb les dades? Hem de conèixer i saber el cicle de vida de les dades per a poder protegir-los.
- Conèixer les vulnerabilitats. Realitzar anàlisi de riscos per a garantir que s’identifiquen les amenaces a la privacitat. No cal centrar-se únicament en les amenaces tècniques. Hi ha tercers que recullen dades personals en el nostre nom sense aplicar les degudes garanties de seguretat? Quan actualitzem els sistemes, els sistemes i bases de dades antigues romanen actius, ocults i sense posar pegats? Cadascun d’aquests escenaris pot conduir a una bretxa de seguretat, amb el que és important identificar els punts febles de la nostra organització abans que una bretxa de seguretat els identifiqui per nosaltres.
- Saber el que succeeix voltant. Estar atent a les bretxes de seguretat que ocorren en el nostre sector és important per a prevenir-les, perquè els atacants solen recórrer als mateixos atacs contra múltiples organitzacions. Estar atent a les alertes pot evitar-nos ser el pròxim objectiu vulnerable.
- Xifrar ordinadors portàtils, USB’s i altres dispositius portàtils. Les organitzacions sovint se centren en les bretxes de seguretat causades per hacker informàtics, la qual cosa fa que es descurin algunes amenaces que són clau. Les bretxes de seguretat més comunes, i que poden evitar-se, es produeixen a causa de la pèrdua o el robatori d’ordinadors portàtils sense xifrar, claus USB i altres dispositius portàtils. En molts d’aquests casos, si haguéssim tingut un sistema de xifratge prou fort, la violació de seguretat hagués estat menys greu.
- Limitar la informació personal que recollim i que conservem: Hem de saber no sols per què recopilem cada informació personal, sinó també per què la guardem. No recopilem més informació personal de la que necessitem. P. ex. en la majoria dels casos d’autenticació d’identitat és suficient veure, però no registrar, la identificació d’una persona. A més, si la informació personal només es recopila per a finalitats concretes i limitades, eliminem-la de manera segura quan hagi deixat de ser necessària.
- No ens oblidem del final de la vida de la informació personal. És important que protegim la informació personal al llarg de tot el seu cicle de vida, inclòs el final de la seva vida útil, que sovint es passa per alt. Definim unes polítiques i procediments clars sobre la destrucció segura d’informació personal i assegurem-nos que es compleixin. Moltes bretxes es produeixen per tirar documents a les escombraries o perquè la informació no s’ha eliminat correctament dels dispositius electrònics rebutjats o reciclats.
- Oferir formació als empleats. Les polítiques només poden ser efectives quan els responsables d’implementar-les i complir-les són conscients del que contenen, per què existeixen i les conseqüències de desatendre les seves responsabilitats. Hem d’implantar programes de formació i conscienciació sobre privacitat i la seguretat. Disposar de treballadors ben formats i que saben quines són les seves funcions i responsabilitats davant les dades personals, és la millor línia de defensa amb la qual pot comptar una empresa.
- Limitar, i controlar, l’accés a la informació personal. L’accés dels empleats a la informació personal ha de limitar-se al que necessiten saber per al correcte desenvolupament de les seves funcions, especialment quan la informació és confidencial. Això pot ajudar a garantir que no es converteixin en la causa d’una bretxa de seguretat. Els registres d’accés supervisats poden ajudar a identificar comportaments inusuals i a prevenir incidents abans que ocorrin. No sobrecarreguem als treballadors amb més informació de la que necessiten per a dur a terme el seu treball.
- Mantenir actualitzats els softwares i les mesures de seguretat. Si no es protegeixen els nostres sistemes contra les vulnerabilitats ja conegudes, augmentem considerablement la possibilitat de sofrir bretxes de seguretat. Eliminem els softwares que estiguin en desús i assegurem-nos que actualitzem periòdicament l’antivirus i antimalware.
- Prendre mesures immediates per a limitar els danys.
Contenir immediatament la infracció (p. ex., detenir la pràctica no autoritzada, recuperar els registres perduts, canviar els codis d’accés dels ordinadors, etc.).
Designar a una persona de dins de l’organització amb suficient pes com per a realitzar una recerca inicial i poder fer recomanacions.
Valorar la possibilitat de reunir un equip amb representants dels diferents departaments o àrees.
Identificar les persones que necessiten conèixer l’incident internament, i potencialment externament, en aquesta etapa preliminar, incloent-hi la persona responsable del compliment de privacitat.
