Cómo mejorar la protección de datos sensibles en una PYME

Proteger datos sensibles se ha convertido en todo un reto para las PYMES. La era de la movilidad, el fenómeno BYOD y la Internet de las Cosas, están incrementando de manera exponencial el número de dispositivos a proteger en las empresas, para evitar fugas de información y datos sensibles en un entorno de acumulación masiva de datos o Big Data.
Las previsiones de amenazas de expertos ya alertaban en años anteriores sobre este problema. Y se están cumpliendo. Los cibercriminales han mejorado la estrategia de ciberespionaje para rastrear y recoger datos valiosos en ataques dirigidos contra dispositivos móviles y la Internet de las Cosas. Datos como los registros médicos son una mina de oro para la ciberdelincuencia y el sector de la salud es el que más ataques cibernéticos recibe en países como Estados Unidos.
La protección de datos sensibles es una obligación ética y legal que no es sencilla de llevar a cabo ante la limitada percepción del riesgo, los requisitos exigidos para salvaguardar completamente los datos de clientes y empleados, y la dificultad de cumplir con normativa tan exigente como el Reglamento General de Protección de Datos europeo de obligada aplicación desde el pasado 25 de mayo.
Aumentar la seguridad respetando el derecho a la privacidad de los ciudadanos es sin duda un gran reto que exige proporción y equilibrio. Te dejamos cocho consejos generales que pueden ayudar a proteger los datos y minimizar la probabilidad de incumplimiento de las normativas:

1. Bloquear y proteger datos confidenciales de clientes, pacientes o empleados, especialmente datos sensibles e información personal identificable (PII) como números de seguridad social, registros médicos o datos de tarjetas de crédito.
2. Restringir el acceso de los empleados a los datos sensibles con bloqueo de red especialmente en máquinas ubicadas en espacios públicos como áreas de recepción.
3. Reciclar y destruir datos de clientes, pacientes o empleados cuando no sean necesarios, contenido en medios físicos y también virtuales como ordenadores o unidades de almacenamiento de segunda mano vendidas o desechadas.
4. Implementar políticas de privacidad revisadas al menos anualmente y con capacitación del personal.
5. Usar contraseñas. Toda la plantilla debe contar con nombre de usuario y contraseña cambiada al menos cada tres meses para evitar accesos no autorizados a los equipos informáticos. Conviene realizar auditorías de seguridad. También son recomendables los cortafuegos.
6. Utilizar cifrado de datos ayuda a proteger la privacidad y seguridad de los equipos, especialmente en pendrives, portátiles, dispositivos móviles y unidades de copias de seguridad.
7. Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
8. Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones.