Protección de datos en las empresas: cómo hacerlo y su gran importancia

Hablar de la protección de datos de las empresas, es hablar de seguridad de la información y protección de datos de carácter personal o como ahora se denomina de una forma más cool: de Ciberseguridad y Privacidad de la empresa.
La Ciberseguridad y la privacidad, poco a poco van teniendo presencia en todo lo que nos rodea, incluso en la legislación de aspectos tales como la protección de las infraestructuras críticas o los servicios de intermediación bancaria.

A nivel nacional, la protección de los datos tiene una importante presencia en una serie de leyes ( “nativas” u originarias de la Unión Europea), tales como:

• Real Decreto 3/2010, de 8 de enero, Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (en adelante ENS)
• Ley de Protección de infraestructuras Críticas; Ley 8/2011, de 28 de abril (en adelante LPIC)
• Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Conocido como Reglamento General de Protección de Datos de Carácter personal (en adelante RGPD).
• Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 de servicios esenciales y Digitales; incorporada al ordenamiento jurídico español a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (en adelante NIS, por sus siglas en inglés Network and Informations Systems).

Una empresa u organismo que no proteja sus datos se expone a riesgos operacionales (no poder continuar con las operaciones), a riesgos económicos (por daños propios, a terceros o sanciones), así como a riesgos reputacionales, entre otros riesgos.  
Los impactos asociados pueden llevar al cese de actividades y a la quiebra de la empresa.

Pero.. ¿qué es proteger los datos? y ¿cómo se hace?

Los principios básicos que deben ser aplicados, sirven tanto para una pequeña empresa, como para una mediana o gran empresa.
Lo que difiere, lógicamente, son sus capacidades humanas y económicas para enfrentarse a las ciberamenazas y a los ciberatacantes.
Capacidades que permiten disponer de herramientas, procedimientos y servicios adecuados al volumen de empresa y gasto en tecnologías de las redes y los sistemas de información que manejan.
Los principios básicos son:

• Conocer qué tipo de información tratamos (datos importantes para la empresa, secretos comerciales, datos de carácter personal,..). Bajo el término “tratar” se encuentran acciones tales como: recoger, procesar, almacenar, transmitir y destruir (si, destruir, aunque solemos olvidarnos de esta importante acción sobre los datos).
• Valorar la información y clasificarla (confidencial, publica,..).; ya que no se puede proteger adecuadamente lo que no se sabe que es importante y el daño que nos provocaría su pérdida. Una empresa pequeña no la clasificará formalmente, pero sí debe “mentalmente” saber si la puede exponer o no, cada clase de información que maneje.
• Designar responsables de esa protección en las empresas (si no, caeremos en el “alguien hará algo sobre algo”).
• Identificar qué amenazas se puede materializar. Ya sea esta materialización, de forma directa sobre la información o de forma indirecta, a través de los sistemas informáticos que la tratan.
• Valorar cómo de probable es que se produzca y que impacto tendría sobre mi negocio y prepararse para lo peor.

Porque lo peor puede producirse, tal es así que por eso el legislador contempla cada vez más y en más ámbitos incluso en el médico, esa posibilidad.

Protección de datos en las empresas: una medida imprescindible

Tan en serio nos tenemos que tomar la seguridad de la protección de los datos en las empresas que en el 2020, que está ya tan cerca, tendremos entre 20.000 y 50.000 mil millones de dispositivos de internet de las cosas.
Dispositivos que formarán ecosistemas en nuestras casas y empresas y que cada uno de ellos tendrá más de una vulnerabilidad.
Estas vulnerabilidades tratarán de ser explotadas por los ciberdelincuentes (entre otros) para generarles beneficios a nuestra costa.
Prepararse para lo peor es tener copias de seguridad, saber qué empresas me pueden ayudar, tener ciberseguros (si procede) y tener mecanismos que me permitan operar aunque sea en precario ,mientras se recupera el servicio.
Por todo ello y como conclusión, contra más prevención menor riesgo y contra mayor preparación para lo peor, menor impacto y mayor tasa de supervivencia empresarial.

¿Quieres aprender más sobre el mundo de la programación y la ciberseguridad? Explora nuestro Máster Online en Ciberseguridad.