Descargar el PDF
Descargar el PDF
Cuando se trabaja en un entorno empresarial, es inevitable que haya ocasiones en las que se tenga que manejar información confidencial. Para protegerla, toda la organización tiene que dar prioridad a la seguridad. Desde el primer día, asegúrate de que todos los empleados de la empresa entiendan qué información es confidencial y cuál es su papel en la protección de la misma. Además, limita quién puede acceder a esos datos y toma medidas para que solo almacenes lo que es absolutamente esencial para tu empresa.
Pasos
-
Protege cualquier información que tu empresa tenga y que otros no deban tener. Como líder empresarial, es importante ser minucioso a la hora de evaluar lo que es sensible y lo que no lo es. Los detalles variarán de una empresa a otra, por supuesto, pero en general, debes tomar medidas para asegurar cualquier cosa que pueda dañar a tus clientes, a tus empleados o al éxito de tu negocio si se hiciera pública. [1] X Fuente de investigación
- Por ejemplo, puede que necesites proteger la información personal de tus clientes, como sus nombres, números del seguro social e información de sus tarjetas de crédito. [2] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por otro lado, quizás estés más preocupado por limitar el acceso a ciertos procesos o fórmulas que te dan una ventaja sobre tus competidores, conocidos como secretos comerciales. Esto podría incluir fórmulas o procesos de fabricación, el modelo financiero de tu empresa, listas de tus proveedores, información sobre adquisiciones o tus métodos de venta. [3] X Fuente de investigación
- Cuando evalúes qué información clasificar como confidencial, considera también cuánto tiempo necesitarás conservarla. En el caso de la información de los clientes, por ejemplo, siempre será confidencial, por lo que es mejor mantenerla en tus sistemas solo durante el tiempo que la necesites. [4] X Fuente confiable Federal Trade Commission Ir a la fuente
-
Protege estos datos contra amenazas como el robo o la filtración de datos. No dejes la seguridad de los datos solo en manos de tu Departamento de Informática, sino que debe estar integrada en todos los aspectos de tu empresa. Haz de la seguridad una prioridad absoluta y ten en cuenta que la pérdida de datos puede producirse tanto desde fuera como desde dentro de tu empresa. Esto puede llevar al fraude, al robo de identidad, a la pérdida de ingresos, a la confianza de tus clientes e incluso a problemas legales. [5] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, tu empresa puede enfrentarse a amenazas de piratas informáticos, competidores sin escrúpulos o incluso empleados que comparten involuntariamente información secreta.
-
Ten cuidado con etiquetar todo como confidencial. Aunque la seguridad debe ser una prioridad absoluta, también es importante crear una cultura empresarial en la que tus empleados tengan la información que necesitan para hacer su trabajo. Si en general eres transparente con tus empleados, serán más comprensivos con la información que no puedes compartir con ellos. [6] X Fuente confiable Harvard Business Review Ir a la fuente
- Si etiquetas demasiada información como confidencial, los empleados probablemente encontrarán soluciones al protocolo de seguridad como una forma de acceder a los datos que necesitan.
Anuncio
-
Conoce los requisitos legales para el tratamiento de la información confidencial. Hay una serie de estatutos legales que pueden afectar a la forma en que tu empresa debe tratar los datos sensibles. Estos estatutos pueden afectar a todo el mundo, desde los directores de la empresa hasta los empleados de primera línea, así que asegúrate de que todo el mundo cumpla con ellos. [7] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, si tu empresa ofrece servicios financieros como el cobro de cheques o la concesión de préstamos, la Ley Gramm-Leach-Bliley te obliga a proteger toda la información personal no pública, incluidos los nombres de los consumidores, sus direcciones, su historial de pagos o la información que obtiene de los informes de los consumidores. [8] X Fuente confiable Federal Trade Commission Ir a la fuente
- Si eres un empleado de la empresa, asegúrate también de conocer las normas de la organización sobre cómo manejar la información confidencial.
- Considera la posibilidad de acudir a un abogado especializado en derecho corporativo para asegurarte de que estés legalmente protegido.
-
Comunica claramente a los empleados las expectativas de tu empresa. Haz de la seguridad una parte integral de la cultura de tu empresa. Entrega a todos los empleados un manual o folleto que cubra tus expectativas de privacidad y su papel en la seguridad de la información. [9] X Fuente de investigación Además, imparte formación periódica a todos tus empleados sobre cómo manejar la información confidencial. [10] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, podrías tener una formación de seguridad anual, y luego enviar un correo electrónico si se cambia o actualiza alguno de tus procesos de seguridad.
- También puedes colocar carteles en cada una de las sedes de tu empresa para que la seguridad esté presente en la mente de tus empleados.
- Exige a tus empleados que despejen sus mesas, cierren sus computadoras y cierren sus archivadores u oficinas cada día antes de marcharse.
- Anima a los empleados a informar de posibles violaciones de datos. Incluso puedes crear un programa de incentivos para recompensar a los empleados que te informen de un problema.
-
Enseña a tus empleados a detectar y evitar la suplantación de identidad. A veces, los piratas informáticos envían correos electrónicos o hacen llamadas telefónicas que están diseñadas para parecer que vienen de dentro de la empresa cuando no es así. Esto suele hacerse en un intento de obtener acceso a datos protegidos. Asegúrate de que todos tus empleados sepan que nunca deben dar información confidencial por teléfono o por correo electrónico. Además, comenta cómo pueden detectar rápidamente las solicitudes de suplantación de identidad. [11] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, si un correo electrónico parece sospechoso, el destinatario debe comprobar cuidadosamente el dominio desde el que se haya enviado el correo.
- Las llamadas de suplantación de identidad suelen decir que proceden del Departamento de Informática, así que deja claro que tu equipo técnico nunca pedirá el nombre de usuario o la contraseña de un empleado por teléfono.
- Los empleados que reciben llamadas de clientes deben tener un proceso para verificar la información de los clientes antes de hablar de cualquier información de la cuenta por teléfono.
-
Crea sistemas internos para el manejo de datos confidenciales. Comienza por realizar una evaluación descendente para identificar la información confidencial que maneja tu empresa, así como los puntos en los que podrías ser vulnerable a la pérdida de datos. A continuación, crea una política escrita sobre cómo asegurar esa información, cuánto tiempo mantenerla almacenada y cómo deshacerte de ella cuando ya no la necesites. [12] X Fuente de investigación
- Asegúrate de que toda la información confidencial esté claramente etiquetada, ya sean datos digitales o copias físicas. [13] X Fuente de investigación
- Incluye cómo los empleados individuales deben manejar los datos a los que tienen acceso, incluyendo el no mantener el papeleo confidencial en sus escritorios. Esto se conoce como política de escritorio limpio. [14] X Fuente de investigación
-
Controla quién tiene acceso a la información confidencial. Crea una política de necesidad de conocimiento en la que los empleados solo tengan acceso a la información que necesiten directamente para hacer su trabajo. [15] X Fuente de investigación Esto incluye limitar el acceso a los datos informáticos, así como tomar medidas de seguridad física como guardar el papeleo, las tarjetas de identificación, las llaves de acceso y los códigos de seguridad en salas o archivadores cerrados. [16] X Fuente de investigación
- No permitas que los empleados saquen los datos confidenciales de los edificios de la empresa, incluyendo el llevarse las computadoras a casa o enviar correos electrónicos que contengan información protegida.
-
Protege la información de las computadoras de los empleados. La pérdida de datos digitales es una gran amenaza para cualquier empresa que maneje información confidencial. Mantén actualizados los cortafuegos, los protocolos de encriptación y el antivirus. Además, exige a todos los empleados que utilicen contraseñas seguras que contengan letras, números y símbolos. Estas son otras medidas que puedes tomar: [17] X Fuente de investigación
- Configura las computadoras de la empresa para que se desconecten automáticamente después de haber estado inactivas durante un tiempo determinado.
- Envía la información confidencial solo a través de correos electrónicos encriptados o mensajeros seguros, y solo a las personas que estén autorizadas a recibirla. [18] X Fuente de investigación
- Utiliza siempre la impresión segura.
- Asegúrate de que el Departamento de Informática sea consciente de quién puede y no puede acceder a la información confidencial.
- Aplica las mismas medidas de seguridad a los empleados que trabajan desde casa. [19] X Fuente de investigación
-
Restringe la cantidad de datos que salen del edificio al limitar las computadoras portátiles. En general, es mejor que los empleados utilicen computadoras de escritorio, especialmente si hay información segura almacenada en ellas. Si un empleado necesita usar una computadora portátil para hacer su trabajo, limita o cifra los datos sensibles que se guardan en esa máquina. [20] X Fuente confiable Federal Trade Commission Ir a la fuente
- De la misma manera, evita la cantidad de datos seguros a los que los empleados pueden acceder desde sus teléfonos o tabletas.
- Instala una función de borrado remoto en las computadoras portátiles y otros dispositivos. De este modo, si se pierde o se roba ese elemento, puedes destruir esos datos para que no puedan verse comprometidos.
-
Asegúrate de que las conversaciones delicadas se mantengan seguras. Si hay una reunión en tu empresa en la que se va a hablar de secretos comerciales u otra información privada, asegúrate de que se celebre en una sala privada para evitar las escuchas. Además, asegúrate de que solo asistan las personas autorizadas a conocer esa información. [21] X Fuente de investigación
- Por ejemplo, puedes utilizar una sala de conferencias privada con paredes insonorizadas.
-
No guardes datos confidenciales que no necesites. No hay razón para arriesgarse a perder datos sensibles si no son algo esencial para el funcionamiento de tu empresa. No aceptes ni almacenes datos privados innecesarios de los consumidores, por ejemplo, como el uso de números de cuenta únicos en lugar de identificar a tus clientes por sus números de la seguridad social. [22] X Fuente confiable Federal Trade Commission Ir a la fuente
- Si tienes que recopilar información confidencial (como un número de tarjeta de crédito), considera la posibilidad de borrarla del sistema tan pronto como termines de procesar la transacción.
- Cierta información requiere que cumplas con rigurosos requisitos legislativos, como la protección de la información de los pacientes a través de la HIPAA (aplica solo a Estados Unidos). El incumplimiento de estos requisitos puede dar lugar a fuertes multas, por lo que si no necesitas manejar o almacenar esta información, es mejor evitarla por completo. [23] X Fuente de investigación
-
Ten un plan para hacer frente a una vulneración. El plan debe detallar cómo mantendrás tu negocio en funcionamiento si hay algún tipo de violación de la seguridad o pérdida de datos. También debe cubrir lo que la empresa hará para proteger los datos en caso de un desastre que pueda dejar los sistemas expuestos a un ataque. [24] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, si hay un corte de energía generalizado, determina si tus datos digitales serían más vulnerables a la piratería. Si es así, toma medidas para eliminar ese riesgo. [25] X Fuente de investigación
-
Realiza auditorías periódicas para comprobar el cumplimiento de la seguridad. Ten un plan para evaluar regularmente quién ha accedido a qué información, incluso dentro de tu Departamento de Informática. Identifica dónde se almacenan tus datos sensibles en el sistema para saber inmediatamente si alguien está tratando de acceder a ellos.
- Monitorea el tráfico en tu sistema, especialmente si se están transmitiendo grandes cantidades de datos hacia o desde el mismo. [26] X Fuente confiable Federal Trade Commission Ir a la fuente
- Además, procura estar atento a los múltiples intentos de inicio de sesión de nuevos usuarios o de computadoras desconocidas, ya que esto podría ser un indicador potencial de que alguien está intentando acceder a datos seguros.
Anuncio
-
Vincula a todos los empleados con acuerdos o cláusulas de confidencialidad. Pide a cada nuevo empleado que firme un acuerdo de no divulgación cuando se incorpore, antes de que se le dé acceso a cualquier secreto comercial o a los datos de los clientes. Aunque esto no impedirá que se produzcan todas las pérdidas de datos, te ofrece cierta protección legal en caso de que ocurran. [27] X Fuente de investigación
- Asegúrate de que el plazo del acuerdo de confidencialidad sea lo suficientemente largo como para protegerte incluso después de que el empleado deje la empresa. [28] X Fuente de investigación
-
Habla de la seguridad de los datos cuando se contrata a alguien. Entrega a los nuevos contratados el manual o el folleto que explica tu protocolo de seguridad. Sin embargo, no esperes que lo lean y lo entiendan; explícales claramente durante el proceso de incorporación. [29] X Fuente confiable Federal Trade Commission Ir a la fuente
- Explica a cada empleado que mantener la seguridad de los datos es parte de su descripción de trabajo.
- Habla de las leyes pertinentes y de los documentos de política interna. [30] X Fuente confiable Federal Trade Commission Ir a la fuente
- Recuerda que esto debe incluir a todos los empleados, incluidos los trabajadores de las oficinas filiales y el personal temporal o de temporada. [31] X Fuente confiable Federal Trade Commission Ir a la fuente
-
Haz una entrevista de salida cuando un empleado se vaya. Durante esta conversación, recuérdale su acuerdo de confidencialidad y cuáles son sus obligaciones en torno a cualquier información confidencial a la que haya podido tener acceso. [32] X Fuente de investigación Además, pídele que devuelva sus dispositivos de la empresa, las insignias de seguridad, las llaves, etc. [33] X Fuente confiable Federal Trade Commission Ir a la fuente
- Haz que el Departamento de Informática revoque también todas sus autorizaciones y contraseñas de seguridad. [34] X Fuente de investigación
Anuncio
-
Incluye cláusulas sobre información confidencial en los contratos con terceros. Si haces negocios con terceros, como vendedores y proveedores, asegúrate de que sean conscientes de su responsabilidad de proteger la información confidencial. Además, asegúrate de tener claro cuándo debes notificarles la información que se considera privada. [35] X Fuente de investigación
- Es una buena idea utilizar la expresión "toda la información no pública" en estas cláusulas. De esta manera, no tienes que etiquetar cada uno de los datos sensibles.
- También es posible que tengas que hacer que tus proveedores de servicios firmen acuerdos de confidencialidad si van a tener acceso a información confidencial. [36] X Fuente de investigación
-
Comparte datos solo cuando sea necesario. Al igual que con tus empleados, asegúrate de que todas las terceras partes que estás dando información a terceros solo si es absolutamente esencial para su capacidad para hacer su trabajo. Esto se conoce como política de "mínimo privilegio". [37] X Fuente de investigación
- Además, asegúrate de que la información solo se comparta de forma segura, como a través de redes encriptadas o en reuniones privadas. [38] X Fuente de investigación
- Revisa regularmente las credenciales y el acceso que se da a tus terceros, y asegúrate de saber quién las utiliza.
-
Haz que los visitantes firmen acuerdos de confidencialidad si es necesario. Si un visitante de tu empresa podría tener acceso a información segura, haz que firme un acuerdo de no divulgación cuando se registre. Guarda estos acuerdos de no divulgación de los visitantes en un archivo durante todo el tiempo que sean válidos en caso de que alguien viole los acuerdos más tarde. [39] X Fuente de investigación
- Por ejemplo, si un representante de tu proveedor va a visitar tus instalaciones y podría echar un vistazo a un proceso de fabricación no público, sería una buena idea hacerle firmar un acuerdo de confidencialidad.
-
Limita el acceso de los visitantes a la información segura. Aunque un acuerdo de confidencialidad puede darte algún recurso si un visitante habla de información privada, es mejor evitar que tengan acceso a esos datos. Ten una política que impida a los visitantes entrar en las áreas donde se almacena la información segura y controla a dónde van mientras están en las instalaciones. [40] X Fuente de investigación
- Por ejemplo, puedes hacer que un empleado escolte a los visitantes para asegurarte de que no entren en zonas restringidas.
Anuncio
-
Sé consciente de cómo llega la información confidencial a tu empresa. Para proteger la información confidencial, debes conocer los puntos de entrada. Evalúa de dónde procede esa información, en qué consiste y quién podría tener acceso a ella. Algunas fuentes potenciales pueden ser las siguientes: [41] X Fuente confiable Federal Trade Commission Ir a la fuente
- Por ejemplo, podrías obtener información de solicitantes de empleo, clientes, compañías de tarjetas de crédito o bancos.
- Esa información puede entrar en tu negocio a través de tu sitio web, el correo electrónico, el correo, las cajas registradoras o tu Departamento de Contabilidad.
-
Almacena de forma segura tanto la información digital como el papeleo. La seguridad de los datos requiere un enfoque doble. No solo hay que proteger los sistemas informáticos, sino también asegurarse de que todo el papeleo esté cuidadosamente protegido. [42] X Fuente confiable Federal Trade Commission Ir a la fuente
- Asegúrate de que todo el papeleo se almacene en archivadores cerrados con llave, y que el acceso solo se dé a los empleados autorizados que necesitan legítimamente esa información. [43] X Fuente de investigación
- Además de asegurar tus datos digitales in situ, asegúrate de que todo el almacenamiento en la nube utilice autenticación de varios factores y cifrado. [44] X Fuente de investigación
-
Guarda la información digital con cuidado. Cuando sea posible, evita almacenar cualquier dato sensible en computadoras que tengan acceso a internet. En los casos en los que sí necesites tener esa información en una computadora con conexión a internet, asegúrate de que esté encriptada de forma segura. También puedes hacer lo siguiente: [45] X Fuente confiable Federal Trade Commission Ir a la fuente
- Utiliza servidores seguros, incluyendo el almacenamiento en la nube.
- Encripta (o hacer un hash) las contraseñas de los clientes.
- Actualiza regularmente las contraseñas. [46] X Fuente confiable Federal Trade Commission Ir a la fuente
- Mantén actualizado el software de seguridad. [47] X Fuente confiable Federal Trade Commission Ir a la fuente
- Sé consciente de las vulnerabilidades del software.
- Controla el acceso por USB.
- Haz copias de seguridad de la información en un lugar seguro.
-
Destruye el papeleo para deshacerte de él. No te limites a tirar a la basura las solicitudes antiguas o los archivos de los clientes. En su lugar, invierte en trituradoras de alta calidad y asegúrate de que sean fácilmente accesibles en la oficina. A continuación, haz que los papeles triturados se depositen en contenedores de residuos confidenciales. [48] X Fuente confiable Federal Trade Commission Ir a la fuente
- Recuerda limpiar los viejos archivadores antes de venderlos o tirarlos.
-
Borra completamente los discos duros antes de deshacerte de los dispositivos. Utiliza una utilidad de destrucción de datos segura para asegurarte de destruir toda la información de la computadora, el teléfono o la tableta. No te limites a reformatear el disco duro; eso no es suficiente para borrar completamente todos los datos, aunque los sobrescribas después. [49] X Fuente de investigación
- También puedes utilizar un programa de limpieza de datos de terceros para asegurarte de que los archivos que eliminas habitualmente se borren de los dispositivos. [50] X Fuente de investigación
Anuncio
Referencias
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.open-contracting.org/2016/09/19/diving-deeper-commercial-confidentiality/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://hbr.org/2012/01/should-the-boss-protect-or-inf.html
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/how-comply-privacy-consumer-financial-information-rule-gramm
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www1.udel.edu/security/data/confidentiality.html
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.securitymagazine.com/articles/87025-steps-to-mitigating-third-party-vendor-cybersecurity-threats
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.theglobeandmail.com/report-on-business/small-business/sb-managing/how-to-protect-your-confidential-information/article16072896/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.asx.com.au/documents/public-consultations/160215-handling-confidential-information-guidance.pdf
- ↑ https://www.tripwire.com/state-of-security/featured/5-best-ways-to-handle-sensitive-data/
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business
- ↑ http://www.wiu.edu/vpas/administrative_procedures_handbook/sensitiveData.php
- ↑ https://www.pcmag.com/how-to/how-to-wipe-your-hard-drive
Anuncio