cutimage - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Reduzca sus datos sensibles al mínimo para reducir el riesgo de una brecha

La reducción al mínimo la recolección y almacenamiento de datos sensibles es un paso importante para reducir, igualmente, el riesgo e impacto de las brechas de datos.

El robo de información es uno de los principales riesgos que enfrentan las empresas actualmente, especialmente ante la evolución de las amenazas cibernéticas. Según la encuesta “Brechas de datos y riesgo de datos sensibles”, de Informatica, Scale Ventures y el Instituto Ponemon, la mayoría de empresas ni siquiera conoce los riesgos de sus datos sensibles, o dónde están ubicados dentro de su organización. Otras no tienen los procesos ni las herramientas para realizar un adecuado análisis de riesgo de sus datos sensibles.

Entre todos esos datos, el manejo de la información de identificación personal (PII, por sus siglas en inglés) –como números de seguro social, direcciones o números de documentos de clientes y empleados– es especialmente complicado. Si bien la PII es parte esencial de hacer negocios, también es una enorme responsabilidad para las organizaciones que almacenan este tipo de datos. Según la consultora de riesgos Kroll, a medida que estos datos se recolectan, el control sobre ellos suele volverse descentralizado, haciéndolos más difícil de asegurar.

Por ello, la consultora aconseja a las organizaciones llevar a cabo la práctica de reducir al mínimo los datos sensibles, limitando la recolección y retención de este tipo de información esencial para las operaciones de negocios. Igualmente, ofrece cinco consejos para las empresas que buscan someterse a una “dieta de datos” para proteger a sus organizaciones, sus clientes y empleados contra una brecha de información:

1. Recolecte solo los datos que son necesarios para las funciones de negocios

Muchas compañías tienen una filosofía de “colecte ahora, encuentre un uso después”. Pero recolectar PII tan sensible como el número de seguro social debería hacerse únicamente si es absolutamente necesario. Considere qué información la empresa debe recoger para completar la transacción de un cliente, contratar un empleado o trabajar con un proveedor, y limítelo a esos elementos. La compañía debería buscar el consentimiento del individuo para retener esa información, y proveer una política de privacidad que establezca claramente cómo será utilizada. Las regulaciones aplican para ciertas poblaciones, tales como niños, así que asegúrese de que su organización cumple la ley.

2. Elimine, reduzca y reevalúe regularmente

Una vez que se limita la recolección de datos, un siguiente paso importante es eliminar, o al menos despersonalizar los datos (particularmente si es para el análisis de marketing, donde no se necesita PII), reducir la redundancia de archivos y reconocer que este es un proceso continuo que necesita al menos una reevaluación anual de los procedimientos de minimización.

3. Entrene a los empleados para practicar la minimización de datos de forma individual

Las técnicas de minimización no solo aplican para lo que está almacenado en la base de datos de la compañía. Los empleados individuales deben reconocer sus responsabilidades para refrenarse de recolectar, almacenar y duplicar innecesariamente la información. Lo primero y principal es que la organización debe darle a cada empleado acceso solo a lo que es necesario para realizar sus labores. Más allá de eso, las auditorías de escritorio periódicas pueden ser una herramienta útil para recordarle a los empleados a disponer adecuadamente de los datos innecesarios, regresar archivos de papel a su ubicación de almacenamiento seguro, y evitar duplicar información en múltiples ubicaciones a menos que sea absolutamente necesario.

4. Solicite a los proveedores minimizar la duplicación de datos

Los proveedores externos deben revelar cualquier práctica que incluya la duplicación o almacenamiento indefinido de datos que la organización les provee. El proveedor también debe proporcionar detalles sobre las técnicas de recolección de datos utilizadas a nombre de la organización. Para ese fin, los contratos con terceros deben incluir requisitos específicos en relación a la recolección, uso, divulgación, repetición o eliminación de los datos.

5. Busque áreas “ocultas” de datos almacenados

¿Ha sido purgada la memoria de la fotocopiadora, para que los viejos documentos no sean recuperados? ¿Qué tal el fax? ¿El cuarto de almacenamiento tiene una esquina dedicada a viejos dispositivos que nunca fueron borrados completamente? La información sensible tiene maneras de surgir en lugares más bien únicos, y generalmente nadie se da cuenta hasta que es tiempo de regresar el equipo de oficina rentado, actualizar las computadoras o limpiar el closet de almacenamiento.

La minimización y eliminación de datos son estrategias probadas de gestión de riesgos que, si se hacen correctamente, promoverán el uso dinámico y efectivo de datos dentro de la organización. En lugar de verlo como un mal necesario que afecta las relaciones con los clientes o los empleados, mire la minimización de datos como otra herramienta en el arsenal de seguridad de la organización.

Nota del editor: Este artículo es una traducción del texto en inglés “Data Minimization”. Léalo en: http://www.kroll.com/en-us/intelligence-center/blog/data-minimization

Próximos pasos

Revise también:

Cómo proteger datos sensibles cuando los ejecutivos viajan al extranjero

Tres desafíos para el resguardo eficaz de sus datos empresariales, según EMC

Infografía: Valor de los datos en el mercado clandestino

 

Este artículo se actualizó por última vez en julio 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close