Garantizar la seguridad de los sistemas y la protección de datos ¿cómo hacer ambas cosas?

En la actualidad, tanto el mundo empresarial como el sector público y la sociedad en general, se enfrentan a un conjunto cada vez mayor de amenazas cibernéticas que pueden comprometer la seguridad de nuestra información, con graves repercusiones económicas y sociales.

Específicamente en el ámbito empresarial, estas amenazas podrían incluso poner en peligro la continuidad de las organizaciones, por lo que resulta crucial estar debidamente preparados para enfrentarse adecuadamente a estas situaciones.

garantizar seguridad sistemas y proteccion datos cajasiete

En ese contexto, resulta absolutamente necesario llevar a cabo revisiones, acciones y mejoras tecnológicas de forma periódica (tales como actualizaciones de software, auditorías de seguridad, etc.) que puedan garantizar un nivel adecuado de seguridad en las actividades diarias de los empleados. 

No obstante, cuando las empresas traten con datos personales (esto es, la mayoría de los casos), también deberán cumplir con los requisitos de protección de datos establecidos por la normativa aplicable en este campo.

Para abordar el desafío de garantizar la seguridad de los sistemas sin dejar de lado la protección de datos personales, es importante implementar medidas adecuadas en el ámbito empresarial que contemplen ambas vertientes, por lo que el equipo técnico y legal deberá estar coordinado. Estas medidas no solo deben abordar las amenazas cibernéticas en constante aumento, sino también cumplir con los requisitos de protección de datos establecidos por la normativa aplicable.

A continuación, se presentan algunos ejemplos de medidas de seguridad que tienen en cuenta la privacidad de los usuarios y a su vez permiten a las organizaciones alcanzar estos objetivos:

  1. Análisis en profundidad del estado de los equipos de trabajo en busca de software malicioso:

    Es fundamental realizar escaneos periódicos de los equipos de trabajo utilizando herramientas especializadas de protección, con el fin de detectar y eliminar automáticamente cualquier tipo de malware o software malicioso que puedan comprometer la seguridad de los datos.

    No obstante, es importante destacar que, para cumplir con el principio de minimización de datos, se deberá evitar acceder a los datos y limitarse al rastreo de la presencia de malware en la memoria y los dispositivos de almacenamiento, adoptando las medidas técnicas y organizativas necesarias para garantizar el nivel de seguridad requerido por la normativa.

  2. Accesos seguros a páginas web: 

    Es recomendable aumentar las restricciones en las páginas web que se visitan desde los equipos de trabajo, evitando contenidos peligrosos, inapropiados o ilegales que puedan comprometer la seguridad de la empresa. Sin embargo, es importante aclarar que esta medida debe centrarse exclusivamente en la protección de la información del responsable y no en el control de la navegación de los empleados en Internet, por lo que se deberá garantizar la privacidad de los empleados.

    En caso de pretender monitorizar o rastrear la actividad de los empleados para otras finalidades, la finalidad del tratamiento será distinta y, por tanto, deberá ampararse en otra base que lo legitime. Sin perjuicio de lo anterior, en caso de tratar esporádicamente datos personales de los usuarios, se deberán tomará las precauciones pertinentes al objeto de salvaguardar la seguridad e integridad de los datos, respetando la privacidad de los usuarios.

  3. Sistemas de cifrado: 

    El uso de sistemas de cifrado es una práctica altamente recomendable para garantizar la seguridad y privacidad de los datos sensibles de la empresa. El cifrado proporciona una capa adicional de protección, asegurando que solo las personas autorizadas puedan acceder y comprender la información confidencial.

  4. Doble factor de autentificación: 

    La autenticación de doble factor, es una medida de seguridad fundamental que agrega una capa adicional de protección (en dos pasos) al verificar las cuentas en línea.

    En cualquier caso, la viabilidad de su implementación deberá evaluarse cuidadosamente en cada caso particular:

    -Si no se recopilan datos personales del trabajador durante el proceso de autenticación, la normativa de protección de datos podría no ser aplicable y el tratamiento se podría llevar a cabo.

    -Sin embargo, si se recopilan datos personales, se deberán evaluar las bases legales correspondientes, como el interés legítimo, siempre y cuando se cumplan los principios de idoneidad, necesidad y proporcionalidad, y se garantice que no existen métodos alternativos igualmente idóneos y más garantistas.

    No obstante, resulta importante tener en cuenta que, en principio, la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora no puede ser exigida por la empresa. Por lo tanto, la instalación del aplicativo o programa para el doble factor de autenticación en un dispositivo personal no debería ser obligatoria para el empleado, siendo lo más recomendable optar por un teléfono de empresa.

  5. Uso de almacenamiento en la nube: 

    Al contratar servicios de Cloud Computing, es esencial seleccionar un proveedor que cumpla con las garantías adecuadas en términos de protección de datos y seguridad. Como responsable del tratamiento, la empresa tiene la responsabilidad de elegir un proveedor de confianza y podría ser sancionada si no se cumplen los requisitos de protección de datos. Como responsable del tratamiento, la empresa tiene un deber de diligencia en la elección del encargado del tratamiento y, de lo contrario, podría estar incurriendo en una infracción en materia de protección de datos.

    Al evaluar los servicios de almacenamiento en la nube, es importante considerar aspectos como:

    -Las medidas técnicas y organizativas implementadas por el proveedor para evitar la pérdida, daño o corrupción de los datos.

    -La ubicación de los centros de datos, especialmente si se encuentran fuera del territorio europeo.

    -Las medidas de seguridad adoptadas por el proveedor, como actualizaciones, copias de seguridad y auditorías.

  6. Uso compartido de cuentas y claves de acceso compartidas:

    Con el fin de cumplir con los principios de confidencialidad y privacidad establecidos por la normativa de protección de datos, es importante prohibir el uso compartido de cuentas y claves de acceso entre varios usuarios. Al permitir que varios empleados compartan una misma cuenta y clave de acceso, se pierde la capacidad de rastrear y auditar las acciones individuales de cada usuario, lo que dificulta la atribución de responsabilidad en caso de incidentes o actividades maliciosas. Se recomienda aplicar el principio del mínimo nivel de privilegio en los accesos a los sistemas, otorgando a cada empleado solo los permisos necesarios para llevar a cabo sus tareas laborales.

Por tanto, resulta fundamental que cuando se vayan a implementar medidas de seguridad de los sistemas informáticos en una empresa, no se desatiendan los deberes y obligaciones propios de la normativa en protección de datos; siendo para ello necesario contar con un buen asesoramiento legal, siempre necesario en esta materia para hacerlo con garantías y lograr el binomio perfecto : la seguridad de los sistemas y la protección de datos personales tratados.

Google Plus

Artículos Relacionados

Sobre el Autor

Adrián Manrique De Lara Martín

Adrián Manrique De Lara Martín

Adrián Manrique es abogado que presta asesoramiento jurídico en materia de privacidad y derecho digital en Ceca Magán Abogados. Es graduado en Derecho por la Universidad de Las Palmas de Gran Canaria, titulado en el Máster de Acceso de Abogacía por la misma Universidad y se ha especializado en Protección de Datos habiendo realizado el Máster de especialización en la Universidad de la Rioja (UNIR). Del mismo modo, cuenta con un curso superior en Ciberseguridad por Deusto Formación.

Cuenta con el título Advanced Certificate (C1) de la Universidad de Cambridge y Goethe - Zertifikat (B2) del Goethe Institut siendo, por tanto, sus idiomas de trabajo el español y el inglés, teniendo a su vez conocimientos avanzados de alemán.

En el sector privado, cuenta con experiencia en la adecuación e implementación integral a la normativa de protección de datos personales, así como en el asesoramiento a empresas tecnológicas y gestión de la información. Asimismo, ha prestado asesoramiento y tutorizaciones a nuevos emprendedores en todo lo referido a la protección de datos relacionada con sus negocios y actividades profesionales.

En lo relativo al sector público, cuenta con experiencia en la adecuación e implantación del Reglamento General Europeo de Protección de datos, así como ha colaborado en proyectos en materia de Participación Ciudadana y Transparencia de la información pública.

Deja un comentario

Estás comentando como invitado.
He leído y acepto la Politica de privacidad y el Aviso legal.
Cajasietecontunegocio
Comprometidosconnuestragente

Suscríbete a nuestra Newsletter

¿Quién es el Responsable de tratamiento de sus datos? El responsable es Cajasiete, Caja Rural, S.C.C. Puede contactar con el Responsable de Protección de datos a través del correo electrónico dpo_cajasiete@cajasiete.com. ¿Con qué finalidad tratamos sus datos personales? Los datos facilitados serán utilizados para el envío periódico de nuestra newsletter, así como noticias e información de interés para el desarrollo y ayuda a negocios. No se tomarán decisiones automatizadas. Los datos personales facilitados se mantendrán hasta que revoque su consentimiento. ¿Cuál es la legitimación para el tratamiento de sus datos? La base legal para el tratamiento de los datos facilitados es su consentimiento prestado mediante la suscripción a la newsletter. ¿A qué destinatarios se comunicarán sus datos? Los datos únicamente se tratarán por el responsable y, no se realizarán cesiones de datos a terceros salvo obligación legal. No se prevén cesiones de datos a terceros países. ¿Cuáles son sus derechos cuando nos facilita sus datos?  Como titular de los datos usted tiene derecho a acceder, actualizar, rectificar y suprimir los datos, así como otros derechos, dirigiéndose a CAJASIETE en La dirección de correo electrónico dpo_cajasiete@cajasiete.com, acreditando su identidad.