Las normas de protección de datos personales en Colombia establecen ciertas obligaciones en términos de gestión y protección de la información personal que es recopilada y/o se hace circular dentro de una organización; gracias a esas normas, las empresas hoy en día se enfocan en implementar medidas de control a todo nivel que permitan garantizar que los datos recopilados estén seguros y sean ajenos a eventos de fuga o acceso no autorizado. Al realizar tales implementaciones las empresas no solo buscan alcanzar el cumplimiento legal sino que intentan demostrar un compromiso serio con la protección de la información, lo que contribuye a desarrollar lazos de lealtad y confianza entre sus clientes.
En particular en el área comercial, en la cual se inicia todo proceso de tratamiento de datos personales con clientes, se deben realizar peritajes periódicos de los dispositivos tecnológicos usados, buscando con ello identificar y mitigar riesgos de seguridad y extinguir cualquier vulnerabilidad frente accesos no autorizados o ciberataques; esto es especialmente necesario cuando se trabaja con equipos móviles tales como portátiles, tabletas o Smartphones, ya que generalmente este tipo de dispositivos están fuera del alcance del control diario que realiza la organización.
Y entonces… ¿qué se debería verificar en estos dispositivos?
Antes que tomar cualquier acción, primero se debe contar con una política de uso para dispositivos móviles, ésta definirá qué información podrá ser almacenada en ellos, y cómo deberá ser gestionada por cada funcionario cuando pase por sus manos, ello sin importar que el equipo móvil de almacenamiento sea propiedad o no de ese mismo funcionario.
Teniendo como soporte una política de tratamiento ajustada a las necesidades de la organización, se deberían realizar en su orden las siguientes actividades:
- Instalar una solución MDM (Mobile Device Management) en cada dispositivo móvil. Las soluciones más conocidas son: IBM MDM, Oracle MDM, o Android Business.
Con la mencionada tecnología MDM se puede administrar de manera centralizada Smartphones, tabletas y portátiles en el entorno empresarial; para lo cual se instalará el programa tanto en los dispositivos como en un servidor dentro de la organización, a través del cual se puede gestionar una amplia gama de aspectos como: el registro y configuración del dispositivo, el uso de contraseñas fuertes, el cifrado de datos, el permiso o bloqueo de instalación de aplicaciones, el monitoreo de la ubicación, el uso de los dispositivos en tiempo real (se puede rastrear equipos perdidos o robados), la actualización de sistemas operativos, la autorización de uso y acceso a contenidos, y el borrado remoto.
- Programar auditorías o peritajes periódicos para revisar el contenido de los dispositivos móviles y asegurar que cumplen con las políticas de la empresa, que se usan de acuerdo a las instrucciones dadas y que los datos contenidos en ellos se copian en forma automática en servidores autorizados.
- Establecer un protocolo formal donde los funcionarios comerciales, en especial los vendedores, entreguen sus dispositivos para una revisión y extracción de datos antes que se materialice su retiro de la empresa.
- Establecer un protocolo de borrado, restablecimiento de fábrica del dispositivo, certificación de borrado, y verificación documentada de que se han seguido los procedimientos ordenados para la reiniciación de un equipo móvil.
Hoy en día, el peritaje de dispositivos móviles en nuestras empresas es una práctica habitual y esencial que garantiza la privacidad de los datos de nuestros clientes y colaboradores, ayuda a monitorear la seguridad de la información, nos permite cumplir de una manera más eficiente con aspectos legales, previene fugas de datos corporativos y afectaciones a la integridad y disponibilidad de los mismos. Es nuestro deber como administradores de TI y oficiales de protección de datos personales implementar procedimientos de peritaje continuo, esto ayudará a que la empresa se blinde contra los riesgos de sanción, y que la seguridad de los datos se mejore en procesos comerciales esenciales como los de contacto y comunicación con los clientes.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
