- Saber qué información personal tenemos, dónde está y qué estamos haciendo con ella. Los registros de actividades de tratamiento ayudan a saber exactamente qué información personal necesitamos proteger, y cuándo y dónde necesitamos protegerla. ¿Cuándo y dónde recogemos datos de carácter personal? ¿A dónde van esos datos? ¿Quién puede acceder a ellos? ¿Qué se hacen con los datos? Debemos conocer y saber el ciclo de vida de los datos para poder protegerlos.
- Conocer las vulnerabilidades. Realizar análisis de riesgos para garantizar que se identifican las amenazas a la privacidad. No hay que centrarse únicamente en las amenazas técnicas. ¿Hay terceros que recogen datos personales en nuestro nombre sin aplicar las debidas garantías de seguridad? Cuando actualizamos los sistemas, ¿los sistemas y bases de datos antiguas permanecen activos, ocultos y sin parchear? Cada uno de estos escenarios puede conducir a una brecha de seguridad, con lo que es importante identificar los puntos débiles de nuestra organización antes de que una brecha de seguridad los identifique por nosotros.
- Saber lo que sucede alrededor. Estar atento a las brechas de seguridad que ocurren en nuestro sector es importante para prevenirlas, pues los atacantes suelen recurrir a los mismos ataques contra múltiples organizaciones. Estar atento a las alertas puede evitarnos ser el próximo objetivo vulnerable.
- Cifrar ordenadores portátiles, USB’s y otros dispositivos portátiles. Las organizaciones a menudo se centran en las brechas de seguridad causadas por hacker informáticos, lo que hace que se descuiden algunas amenazas que son clave. Las brechas de seguridad más comunes, y que pueden evitarse, se producen debido a la pérdida o el robo de ordenadores portátiles sin cifrar, llaves USB y otros dispositivos portátiles. En muchos de estos casos, si hubiésemos tenido un sistema de cifrado suficientemente fuerte, la violación de seguridad hubiera sido menos grave.
- Limitar la información personal que recogemos y que conservamos: Debemos saber no solo por qué recopilamos cada información personal, sino también por qué la guardamos. No recopilemos más información personal de la que necesitemos. P.ej. en la mayoría de los casos de autenticación de identidad es suficiente ver, pero no registrar, la identificación de una persona. Además, si la información personal solo se recopila para finalidades concretas y limitadas, eliminémosla de forma segura cuando haya dejado de ser necesaria.
- No nos olvidemos del final de la vida de la información personal. Es importante que protejamos la información personal a lo largo de todo su ciclo de vida, incluido el final de su vida útil, que a menudo se pasa por alto. Definamos unas políticas y procedimientos claros sobre la destrucción segura de información personal y asegurémonos de que se cumplan. Muchas brechas se producen por tirar documentos a la basura o porque la información no se ha eliminado correctamente de los dispositivos electrónicos desechados o reciclados.
- Ofrecer formación a los empleados. Las políticas solo pueden ser efectivas cuando los responsables de implementarlas y cumplirlas son conscientes de lo que contienen, por qué existen y las consecuencias de desatender sus responsabilidades. Debemos implantar programas de formación y concienciación sobre privacidad y la seguridad. Disponer de trabajadores bien formados y que saben cuáles son sus funciones y responsabilidades ante los datos personales, es la mejor línea de defensa con la que puede contar una empresa.
- Limitar, y controlar, el acceso a la información personal. El acceso de los empleados a la información personal debe limitarse a lo que necesitan saber para el correcto desarrollo de sus funciones, especialmente cuando la información es confidencial. Esto puede ayudar a garantizar que no se conviertan en la causa de una brecha de seguridad. Los registros de acceso supervisados pueden ayudar a identificar comportamientos inusuales y a prevenir incidentes antes de que ocurran. No sobrecarguemos a los trabajadores con más información de la que necesitan para llevar a cabo su trabajo.
- Mantener actualizados los softwares y las medidas de seguridad. Si no se protegen nuestros sistemas contra las vulnerabilidades ya conocidas, aumentamos considerablemente la posibilidad de sufrir brechas de seguridad. Eliminemos los softwares que estén en desuso y asegurémonos que actualizamos periódicamente el antivirus y antimalware.
- Tomar medidas inmediatas para limitar los daños.
Contener inmediatamente la infracción (p.ej., detener la práctica no autorizada, recuperar los registros perdidos, cambiar los códigos de acceso de los ordenadores, etc.).
Designar a una persona de dentro de la organización con suficiente peso como para realizar una investigación inicial y poder hacer recomendaciones.
Valorar la posibilidad de reunir un equipo con representantes de los diferentes departamentos o áreas.
Identificar las personas que necesitan conocer el incidente internamente, y potencialmente externamente, en esta etapa preliminar, incluyendo a la persona responsable del cumplimiento de privacidad.
