¿Qué es el principio de seguridad dentro de la protección de datos personales?

noviembre 15, 2022

La Ley 1581 en su artículo 4, establece: “el principio de seguridad como aquel que debe ser tenido en cuenta por el responsable tanto de los bancos de datos como del control de los medios de acceso, consulta y registro de la información personal en el sistema, todo con la finalidad que se incorporen las medidas técnicas necesarias para garantizar la seguridad de esos datos, evitando la posibilidad de adulteración, pérdida o uso no autorizado de los mismos”

En el papel, el principio suena sencillo y fácil de implementar, no obstante en la práctica cumplirlo parece ser una tarea titánica dado las múltiples vulnerabilidades: desde la simple fotocopia de un expediente, la captura de imágenes con cámaras miniatura, la duplicación de lo que es visualizado en los sistemas de información, hasta la  copia de grandes volúmenes de datos a través de memorias USB o drives virtuales, lo anterior sin contar  las posibilidades de  infiltración de la red mediante el hacking por internet que generalmente ocasiona la extracción o secuestro de todos los datos de la empresa, y que es un asunto que tiene infinidad de aristas.

 A lo anterior debemos sumar el hecho que existe una diversidad de nodos por donde fluye la información y por los que se pueden fugar registros con datos personales, y un ejemplo de ello se observa al analizar una base de datos de clientes, esta es manejada por vendedores, agentes de soporte técnico, funcionarios de servicio al cliente, tesorería, facturación y despachos entre otros, lo que dificultará aún más la labor de control. Entonces la administración siempre se cuestionará diciendo: ¿Cómo podemos proteger los datos que tenemos en nuestra organización?, y respuesta menuda tendrán los analistas en seguridad quienes deberán matarse la cabeza, dado que la solución no es fácil. 

Una regla universal es bien compleja, más si se tiene en cuenta que la gestión de seguridad depende de la infraestructura, de la capacidad de personal y del músculo financiero de la organización, no obstante, un bosquejo general puede ser expuesto dado que hay lineamientos comunes para cada empresa. Primero que todo se requiere disponer de dos frentes de trabajo: el de la seguridad física y el de seguridad informática, cada uno de ellos requerirá de protocolos y procedimientos específicos que se deben ejecutar con total precisión para evitar incurrir en algún error; adicionalmente se necesitarán mecanismos de control que verifiquen que los protocolos se cumplen, y un comité de valoración que tome medidas orientadas a corregir el rumbo de la gestión para los casos en que se presenten incidencias o se descubran vulnerabilidades que necesiten  ser corregidas.

Cada área de la empresa requerirá el diseño de sus propios procedimientos y protocolos con estándares de seguridad muy bien establecidos los que deben funcionar bajo las unas mismas directrices, por lo tanto, cualquier organización necesitará de al menos un analista que evalúe todos los pasos ejecutados en el desarrollo de cada actividad, que estudie los riesgos, y que establezca en conjunto con la gerencia las reglas definitivas que se alinearán a las necesidades puntuales y al balance existente entre riesgo y presupuesto.

Entre los aspectos mínimos que deben tenerse en cuenta al momento de implantar esquemas de seguridad están: 

  1. Limitar el número de personas que acceden a la información 
  2. Realizar copias de seguridad periódicas preferiblemente con procesos automáticos
  3. Implementar controles de acceso a las áreas de archivo físico incluyendo la vigilancia electrónica
  4. Tener períodos de permanencia máxima de todos los datos de la empresa (por ejemplo, hojas de vida de personal retirado, de personal contratado, de clientes que no volvieron a comprar, etc.) 
  5. Establecer políticas de contraseñas seguras con cambio periódico obligatorio
  6. Proteger el correo electrónico con elementos de encriptación
  7. Implementar planillas de recepción de documentos físicos y control a los sobres confidenciales
  8. Disponer de un software de gestión integral de seguridad que prevenga el ataque informático interno y externo, y que además lleve registro de todas las acciones de los miembros de la red incluyendo tokens a las bases de datos para descubrir filtraciones con precisión
  9. Contar también con un software DLP, o de prevención de la pérdida de datos, que evite que los usuarios copien o compartan información confidencial de la empresa
  10. Monitorear la gestión de datos para detectar fallas o actuaciones incorrectas del personal, trabajar en la nube para que se centralice la información y no se disponga de medios de extracción masiva
  11. Involucrar a las diferentes áreas de control para realizar trabajo conjunto, y mantener procesos de auditoría interna y externa en protección de la información

Hay que recordar que la protección de datos personales va más allá de crear y hacer visible una serie de políticas, y más bien se enfoca en garantizar que todos los datos privados de personas de ninguna manera irán a parar a manos de desconocidos, y que en ningún caso se admitirá su pérdida, borrado o modificación no autorizada. 

No comments
Tags:
Share:

Experto en seguridad, privacidad y protección de datos de caracter personal. 8 años de experiencia en el sector. Me dedico a ayudar a los empresarios para que puedan minimizar el impacto y la probabilidad de los riesgos a los que se expone constantemente la información que administra o gestiona su empresa. La privacidad es mi pasión y la seguridad, mi obsesión.

Deja un comentario