Seis consejos de seguridad para su negocio

Por /
Comparte en ...

Durante la última mitad de la década del 90, hubo preocupación por empleados que utilizan sus propias computadoras de escritorio para conectarse a la red corporativa desde su hogar.

Solo unos pocos años más tarde, los teléfonos inteligentes comenzaron a usarse ampliamente … miles de artículos más y cientos de sesiones más. Y pronto, los empleados utilizaron no solo uno, sino múltiples teléfonos inteligentes, tabletas, computadoras portátiles y dispositivos portátiles no solo para actividades personales sino también para actividades laborales.

Los tipos de nuevas tecnologías que los empleados están utilizando en los entornos de trabajo y para las actividades comerciales continuarán creciendo de manera exponencial.

Sus datos personales se están mezclando más con los datos de negocios en esos dispositivos.

Hay formas cada vez más complejas en las que los empleados están conectados a …

  • Internet
  • Directamente a otras personas
  • Objetos habilitados para Wi-Fi que recolectan pasivamente de su dispositivo móvil y/o imágenes suyas a medida que pasa por ellos
  • Un número ilimitado de personas desconocidas que absorben datos a través de sus aplicaciones móviles
  • Un número creciente de otros dispositivos “inteligentes” de Internet de las cosas ( IoT ) que toman automáticamente los datos generados y los pasan a otros ilimitados.

Esto se complica por el hecho de que estos trabajadores trabajan cada vez más de forma remota, lejos de las redes de la empresa y fuera de las instalaciones y el alcance de sus gerentes, lo que aumenta exponencialmente el riesgo para toda la información comercial a la que está accediendo.

Todos los nuevos dispositivos y tecnología que los empleados ahora usan simplemente, sin preguntas y sin parámetros establecidos, aumentan los riesgos de seguridad y la superficie de los ataques de ciberseguridad de todas las empresas.

Entonces, ¿En dónde de debe empezar?

1. Determie sus Riesgos

Realice una evaluación de riesgo de alto nivel que incluya, entre otras acciones, responder las siguientes preguntas:

  1. ¿Qué tipos de dispositivos (informática, almacenamiento e inteligente) utilizan los empleados? ¿Cuántos de ellos son propiedad de la empresa y propiedad de los empleados u otros?
  2. ¿Cuáles se utilizan al hacer actividades de trabajo?
  3. ¿Cuáles recogen datos de alguna manera?
  4. ¿Cuáles almacenan información del negocio?
  5. ¿Qué aplicaciones móviles se utilizan en los dispositivos? ¿Qué datos están recopilando y a quién están enviando/compartiendo los datos?
  6. ¿En qué ubicaciones geográficas y tipos de entornos se utilizan los dispositivos?
  7. ¿Qué controles de seguridad se utilizan en todos esos lugares?
  8. ¿Quién tiene acceso a todos los datos?
  9. ¿Cómo se pueden eliminar los datos de esos dispositivos?
  10. ¿Qué tipo de comunicaciones de capacitación y concientización reciben los empleados por usar todo tipo de dispositivos?
  11. ¿Qué tipo de contratos de confidencialidad firman los empleados cuando comienzan a trabajar?
  12. ¿Qué deben hacer los empleados cuando dejan el empleo en la empresa?

Luego puede hacer una evaluación de riesgos de inmersión profunda después de terminar el resto de esta lista para ver dónde todavía tiene riesgos y brechas que mitigar y realice una evaluación de riesgo.

2. Establecer políticas, procedimientos de seguridad y privacidad.

Ahora necesita establecer políticas de seguridad y privacidad documentadas para mitigar los riesgos identificados a niveles aceptables, proporcionando las reglas para todos los tipos de tecnología que utilizan sus empleados que podrían afectar su negocio. Luego documente los procedimientos para apoyar esas políticas.

Recuerde: si sus políticas y procedimientos no están realmente documentados, no existen. Ese es el caso, al menos, de los clientes, reguladores y auditores que revisarán sus programas de seguridad y privacidad de la información. Las políticas y procedimientos para los problemas relacionados con los empleados que usan sus propios dispositivos en una amplia gama de ubicaciones deben incluir (pero no deben limitarse a):

  1. Requisitos para que los empleados firmen acuerdos de confidencialidad y no divulgación al inicio del empleo.
  2. Requisitos para obtener datos de dispositivos informáticos cuando los empleados abandonan la empresa.
  3. Requisitos claramente redactados para los tipos de tecnologías que pueden y no pueden usarse al realizar actividades comerciales.
  4. Los requisitos claramente redactados para el lugar donde la información comercial, incluida la información sobre clientes, empleados, pacientes y otros tipos de información personal utilizada en el entorno empresarial, pueden y no pueden publicarse, compartirse, almacenarse, etc.
  5. Procedimientos de salida de empleados para revisar las obligaciones legales de los empleados de no usar los datos para otros fines para garantizar que el futuro ex empleado comprenda las cosas que esas personas no pueden hacer con la información comercial a la que tuvieron acceso y las ramificaciones legales de tomar Información de negocios y uso en otros lugares.
  6. Requisitos para los empleados que utilizan sus propios dispositivos, en ubicaciones ilimitadas, para recibir capacitación sobre los requisitos de seguridad y privacidad.

3. Identificar herramientas para políticas y procedimientos.

Hay una amplia gama de herramientas a considerar, tales como (pero no limitadas a):

  1. Cifrado de datos en reposo, datos en tránsito y datos que se recopilan.
  2. Herramientas de registro de datos para rastrear datos de negocios, clientes, empleados, pacientes y otros datos relacionados con la organización.
  3. Herramientas remotas de borrado de datos para eliminar datos de ex empleados, dispositivos robados y perdidos.
  4. Se requieren firewalls y herramientas antimalware en todo tipo de dispositivos.
  5. Realización de evaluaciones periódicas de impacto en la privacidad (PIA), evaluaciones de riesgos y auditorías.

4. Proporcionar capacitación.

Sus empleados no sabrán qué hacer a menos que les brinde una capacitación efectiva. Proporcionar una capacitación efectiva es clave; no solo señale a los empleados un documento y llame a esa capacitación … no lo es. Hay muchas maneras de proporcionar una formación eficaz.

5. Enviar recordatorios de conciencia.

Cuanto más tiempo haya pasado desde la capacitación, menos a menudo los empleados pensarán en cómo proteger la información y proteger la privacidad. Debe proporcionar comunicaciones frecuentes y continuas para recordar a los empleados la necesidad de trabajar de una manera que proteja los datos y la privacidad. Hay muchas formas de proporcionar comunicaciones continuas de seguridad de la información y conciencia de privacidad.

6. Supervisar el cumplimiento.

Después de establecer reglas sobre cómo usar los dispositivos informáticos y cómo administrar los datos comerciales junto con los datos personales, debe asegurarse de que esas reglas sean efectivas. No puede poner las reglas y asumir que todos las siguan. Algunos optarán por no hacerlo, pero luego habrá otros que no entendieron las reglas, aquellos que olvidarán las reglas y aquellos que cometerán errores que crearán incidentes e incluso violaciones relacionadas con la información comercial. Debe supervisar la efectividad de sus políticas y procedimientos sobre cómo los empleados deben trabajar con sus propios dispositivos en cada ubicación.

Lo esencial para estar preparado para el futuro de sus empleados con alta tecnología…

Las empresas deben mantenerse al día para conocer los riesgos actuales y emergentes basados ​​en las tendencias públicas actuales y emergentes para el uso de una amplia gama de tecnologías y dispositivos informáticos. Las empresas deben asegurarse de que las reglas para el uso de dichas tecnologías estén documentadas y luego asegurarse de que esas reglas se cumplan.

Comparte en ...

Entradas relacionadas

Scroll al inicio