Las medidas y leyes de protección y privacidad de datos han cambiado notablemente en las últimas dos décadas. Términos como privacidad de datos eran casi desconocidos, salvo para los equipos jurídicos especializados, y la protección de los datos personales se englobaba en la seguridad de las redes y los servidores. Implantar y mantener un marco sólido de protección y privacidad de los datos es crucial, sobre todo para las empresas que hacen un uso intensivo de los datos, como VGS Global, el mayor especialista mundial en externalización de visados para gobiernos.
La protección de datos y la seguridad de la información son dos funciones críticas para el negocio en VFS Global. A lo largo de los años, la empresa ha invertido importantes recursos en la creación de estas funciones con sistemas y controles muy sólidos.
El líder del mercado en el sector de la externalización de visados cumple con varias leyes de protección y privacidad de datos, incluido el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, considerado uno de los reglamentos más estrictos en este ámbito. Aunque la pandemia aumentó los riesgos de seguridad de los datos en un mundo en el que se trabaja a distancia, VFS Global desplegó numerosas soluciones de seguridad de vanguardia contra posibles amenazas cibernéticas. «La seguridad de los datos está totalmente integrada en el diseño y el funcionamiento de nuestros procesos. Un ejemplo de ello es la continuación de la certificación ISO/IEC 27001:2013 que demuestra un alto nivel de garantía en todos nuestros procesos de seguridad de la información», dijo Astrid Gobardhan, responsable de protección de datos de VFS Global.
El tratamiento de los datos personales es fundamental para VFS Global. La empresa da gran importancia a la mejora continua de su marco de ciberseguridad. «Invertimos millones de dólares cada año en este ámbito. Habiendo demostrado ya nuestra sólida estrategia de Defensa en Profundidad, actualmente estamos implementando un proyecto para mejorar la ciber-madurez. Esto incluye nuevas tecnologías de ciberseguridad a nivel de punto final y la implementación de herramientas avanzadas de Descubrimiento y Cumplimiento de PII para garantizar que los datos permanezcan protegidos durante todo su ciclo de vida. El proyecto también incluye la mejora del Plan de Respuesta a Incidentes Cibernéticos y ejercicios de simulación para garantizar una respuesta bien ensayada a cualquier incidente de ciberseguridad», añadió Gobardhan.
En los últimos dos años han entrado en vigor más de 100 nuevas normas de privacidad en todo el mundo, lo que indica la creciente importancia de la protección de datos en las empresas. El cambio inducido por la pandemia hacia los entornos de trabajo a distancia empujó a las empresas a ir más allá en el refuerzo de las políticas de protección de datos.
«El factor más importante en esta nueva realidad es contar con una red robusta y en capas de una infraestructura digital segura que pueda escalar en proporción a las necesidades de trabajo. El cambio ha empujado a las empresas a reestructurar las áreas críticas de funcionamiento y a trabajar para alinear los objetivos empresariales con los imperativos de seguridad», añadió Gobardhan.
Recomendaciones para una buena gestión de la protección de datos
a) La política debe abordar las necesidades específicas y los riesgos particulares del acceso a la información desde fuera de la organización. Esta política debe comunicarse eficazmente a los empleados, definiendo las responsabilidades y obligaciones mediante directrices o formación.
b) Elegir soluciones fiables y con plenas garantías de seguridad para no poner en riesgo los datos personales y las bases de datos de la empresa. Esto implicaría, entre otras cosas, mejorar la seguridad del correo electrónico, la autenticación multifactor, las configuraciones de seguridad robustas en la nube, la corrección rápida de errores.
c) Elegir conscientemente quién accede a la información sensible, limitando, en la medida de lo posible, y minimizando así los riesgos. El acceso a los datos se realiza únicamente en función de la «necesidad de saber». Los empleados de cualquier organización que no estén en contacto directo con los clientes no tienen acceso a los datos personales.
d) Revisar el estado de los equipos y dispositivos utilizados para acceder a la información sensible. Los sistemas deben contar con aplicaciones y sistemas operativos actualizados y evitar la descarga de aplicaciones gratuitas de fuera de la organización para no comprometer la seguridad de la información. Además, los equipos de seguridad y privacidad deben tener un tiempo de respuesta casi nulo para detectar y resolver incidentes cibernéticos, aplicar correcciones y mitigar riesgos en tiempo real.
e) Disponer de un software para inspeccionar los USBs o dispositivos externos que puedan provenir de terceros y que puedan suponer un riesgo en el trabajo de la organización.