Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Realmente necesito toda la información que almaceno?

Fecha de publicación 17/09/2019
Autor
INCIBE (INCIBE)
¿Realmente necesito toda la información que almaceno?

En muchas ocasiones, en nuestros hogares, precisamos organizar nuestros enseres diarios. También en una empresa tenemos que organizar nuestra información. Si hacemos una búsqueda por Internet veremos que las tiendas utilizan categorías para organizar todo tipo de productos. En este uso de categorías se basan también los principios de ordenación aplicables a la recolección de datos personales en el ámbito empresarial. 

A diario, las empresas recopilan grandes cantidades de datos personales o profesionales, que conforman su principal activo, la información. En ocasiones, estos datos son además sensibles o críticos: relacionados con la salud, con los recursos humanos (nóminas, pagos, datos bancarios), comerciales (comportamiento para la generación de publicidad al uso), etc.

Como consecuencia, es muy probable que una empresa cuente con grandes cantidades de registros almacenados en diferentes bases de datos internas o servicios externos. Y realmente, ¿son todos necesarios? A diferencia de un cajón donde ordenar las corbatas, pañuelos o cinturones, la recopilación de datos conlleva una serie de responsabilidades legales para las empresas que los recogen y almacenan. 

La clave para el cumplimiento de esta normativa está en clasificar la información de una manera eficiente. Para poder llevar a cabo este proceso deberemos seguir los siguientes pasos: 

Imagen que muestra las fases para la una eficiente clasificación de la información: inventariar los activos, establecer criterios de clasificación, clasificar los activos, implantar políticas de seguridad y auditar.

  • Inventario de activos: para poder ordenar un desorden, las organizaciones deberán tomarse el tiempo que necesiten para recopilar los datos que tengan almacenados en los distintos sistemas con los que cuenten, tanto físicos como digitales. Una vez realizado el inventario de los mismos podrá tener una percepción amplia de los datos recopilados y comenzar a optimizarlos, cumpliendo siempre con las normas sobre el tratamiento de los mismos.
  • Establecer criterios de clasificación: cada organización deberá establecer los criterios que considere necesarios y que mejor se adapten a sus circunstancias particulares (por ejemplo, según su confidencialidad, su utilidad o por el impacto de su pérdida), quedando alienados con las medidas de seguridad que se llevarán a cabo para la protección de datos. 

Imagen que muestra una clasificación de la información en confidencial, interna y pública.

  • Clasificación de activos: reducir los almacenes de datos y guardar únicamente la información esencial para el funcionamiento de cualquier organización, minimizará los riesgos de exposición, pérdida o robo de datos personales o sensibles. Una vez que contamos con los activos que nos son de utilidad, es recomendable etiquetarlos adecuadamente. 
  • Elaborar e implantar políticas y procedimientos de seguridad que se aplicarán para cada tipo de activo o categoría de datos, en función de los criterios de clasificación, previamente definidos para, por ejemplo:
    • limitar y controlar el acceso a la información,
    • cifrar la información, 
    • realizar copias de información, o
    • firmar acuerdos de confidencialidad con proveedores y empleados.
  • Auditar: es necesario realizar periódicamente auditorías de seguridad que certifiquen que se están poniendo en marcha las medidas estipuladas en la organización, encaminadas a proteger la información.

En muchas ocasiones, se recopilan y almacenan registros de datos duplicados en varios sistemas porque pueden ser útiles para diferentes propósitos o departamentos. Esta duplicidad provoca una dispersión de datos y una pérdida del control sobre los mismos. Tener datos duplicados, en particular si son datos personales o confidenciales, hará más difícil su control y más costosa su seguridad. Además, ante una fuga de datos personales, podríamos tener que pagar multas por incumplimiento de la LOPDGDD.  Categorizar permitirá centrar los esfuerzos de seguridad en los datos que la empresa necesita conservar, eliminando o anonimizando el resto

Si protegemos los datos personales de forma razonable nos enfrentamos a sanciones que podrían ser fatales para cualquier pyme o autónomo. Por otra parte, perder nuestra información confidencial puede ocasionar serias pérdidas.  Para evitarlo, ordena los datos que generas, recoges y almacenas, quedándote únicamente con aquellos que realmente sean de utilidad para el funcionamiento de tu negocio.