Un consejo de ciberseguridad si trabajas en una gestoría o asesoría para la protección de datos y prevenir su fuga: Lleva un control y gestiona los accesos de los empleados a los datos de tu asesoría o gestoría.
Restringir los accesos de los empleados a cierta información, cuando se trabaja con datos sensibles o confidenciales es de suma importancia para garantizar su seguridad. Además, saber quién puede acceder y sobre todo, quién puede dar permisos para dicho acceso es clave si se quiere evitar la pérdida o robo de información.
Pero, para poder restringir correctamente estos datos y decidir quién puede o no tener acceso, es importante, primero, clasificar los datos en diferentes niveles de confidencialidad o sensibilidad, para poder determinar el grado de restricción. Esto incluye tanto datos físicos como online.
La clasificación de datos, así como conocer la información sensible que se maneja es importante, pero también lo es tomar medidas de ciberseguridad enfocadas y destinadas a la protección de dichos datos.
Establecer políticas y procedimientos claros de seguridad de la información que detallen quién tiene acceso a los datos y en qué circunstancias es importante para poder llevar esta gestión. El personal, en un despacho o asesoría, igual que en cualquier otra empresa es muy cambiante. Frente a personal nuevo, sustituto o personal que cambia de área o departamento, es importante saber el tipo de accesos que debe tener según su rol dentro del despacho o asesoría.
Dentro de estas políticas también es importante establecer una política de eliminación de datos, es decir, quién puede acceder, modificar, eliminar datos, así como, dar o eliminar accesos.
Existen herramientas para gestionar de manera fácil y rápida, y desde una única plataforma, los roles de cada miembro de la asesoría o gestoría. Una manera de poder añadir, quitar o modificar accesos a un empleado.
La autenticación de doble factor (2FA) funciona como una capa extra de seguridad. Cuando un usuario intenta acceder a una información y pone su contraseña, esta debe ser verificada a través de un correo electrónico o un código recibido por mensaje directamente al teléfono móvil. En caso de que un tercero no autorizado esté intentando acceder a la información, se recibe una alerta.
Por otro lado, trabajar con gestores de contraseñas también es fundamental para minimizar el riesgo a ser robadas y/o olvidadas. Además, cuando por ejemplo, un empleado deja de trabajar en la asesoría o despacho, automáticamente se le pueden quitar todos los accesos sin necesidad de realizar cambios de contraseñas.
En caso de los datos online, estos pueden ser cifrados para que sólo emisor y receptor puedan acceder a ellos. Una manera que en caso de que terceros no autorizados los consigan, no pueden leerlos.
Llevar un registro de quién puede acceder a los datos, así cómo de cuándo lo ha hecho y por qué motivo, es importante para evitar descargas masivas de información que pueden conllevar a la fuga de datos o a una utilización ilícita de estos.
Asegura que los documentos y dispositivos físicos que contienen información sensible estén guardados de manera segura dentro del despacho. Además, establece unas políticas exclusivas para los documentos físicos: ¿Pueden salir del despacho u oficina? ¿Quién puede acceder al archivo? ¿Quién puede consultarlos? Etc.
Asegúrate de cumplir con todas las regulaciones locales y nacionales relacionadas con la protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en los Estados Unidos.
Llevar a cabo las medidas anteriores ayuda a saber en todo momento qué está sucediendo con los datos e información confidencial que maneja la asesoría o despacho, ya sea interna o de sus clientes. Una manera de prevenir la fuga de datos, en este caso, provocada por mala praxis del personal.
En ESED, como especialistas en ciberseguridad, nuestra misión es garantizar la seguridad de los datos en todos los sentidos y ámbitos. Nuestro objetivo principal es evitar la fuga de datos a consecuencia de ciberdelincuentes y por una mala gestión de los empleados. Es por esta razón que realizamos formaciones en seguridad informática concienciando y enseñando a asesorías y gestorías buenas prácticas para la protección de datos.
¿Quieres que te enviemos más información? Contacta con nosotros a través de este formulario.