Ha realizado un "censo" de información para identificar y localizar los datos confidenciales en posesión de su empresa. Luego determinó a qué debe aferrarse para fines comerciales. ¿Cuál es el siguiente paso? Según el inicio con la seguridad, es hora de establecer límites para controlar el acceso a los datos con sensatez.
No es un concepto novedoso. Tiene una cerradura en la puerta para evitar el acceso fuera de horario a su negocio y la gente no puede simplemente pasear por su piso de fábrica. También protege los secretos propietarios de su empresa de los ojos no autorizados. Es por eso que no publica la receta de su "salsa secreta" en su sitio web.
¿Está ejerciendo la misma atención con datos confidenciales de clientes o empleados? No todos en su personal necesitan acceso sin restricciones a toda la información confidencial que tenga. La mejor práctica es poner en su lugar los controles sensatos para permitir el acceso a los empleados que lo necesitan para hacer su trabajo, mientras mantienen a los demás fuera. También es aconsejable otorgar acceso administrativo, la capacidad técnica para realizar cambios de todo el sistema en su red o ciertos cambios en las computadoras de escritorio (por ejemplo, instalar un nuevo software), solo a un número limitado de empleados de confianza. Hemos creado una serie de ejemplos basados en asentamientos de la FTC, investigaciones cerradas y preguntas que hemos escuchado de las empresas para proporcionar consejos sobre cómo controlar el acceso a los datos con sensatez.
Restringir el acceso a datos confidenciales.
Si los empleados no tienen que usar información personal como parte de su trabajo, no es necesario que tengan acceso a ella. Para el papeleo confidencial, un control de acceso razonable podría ser tan simple como un gabinete cerrado. Para los datos en su red, las cuentas de usuario separadas que limitan quién puede ver archivos confidenciales o bases de datos es una opción efectiva.
Ejemplo: Los miembros del personal de una agencia de empleo revisan los archivos de personal que a veces incluyen números de Seguro Social. La agencia de empleo se asegura de que todos los empleados tengan un cajón de escritorio de bloqueo. Además, la agencia tiene una política de "escritorio limpio" que requiere que los trabajadores aseguren todo el papeleo sensible cuando se van al final del día, una política que la compañía monitorea con recorridos periódicos. Debido a que la agencia de empleo toma medidas para ver que los empleados mantienen documentos que contienen información personal bajo bloqueo y llave, es menos probable que una persona no autorizada pueda acceder a los datos.
Ejemplo: Los empleados de una pequeña empresa comparten una estación de trabajo. El miembro del personal a cargo de la nómina tiene acceso protegido con contraseña a una base de datos de información de los empleados. El miembro del personal a cargo del envío tiene acceso protegido con contraseña a una base de datos de cuentas de clientes. Al limitar el acceso basado en una necesidad comercial, la compañía ha reducido el riesgo de uso no autorizado.
Ejemplo: Una empresa ofrece una aplicación que permite a los usuarios crear perfiles que incluyan información médica personal. El sistema ofrece a todos los empleados (personal de TI, representantes de ventas, personal de recursos humanos y personal de apoyo, acceso a los perfiles de los clientes. Al dar acceso a datos confidenciales a los miembros del personal que no lo necesitan para el desempeño de sus funciones, la compañía ha creado una situación que podría poner en riesgo la información altamente confidencial.
Limite el acceso administrativo.
Los administradores del sistema pueden cambiar la configuración de su red y es esencial que alguien de su personal tenga la autoridad para hacer las modificaciones necesarias. Pero así como un banco da la combinación a la bóveda central solo a unas pocas personas, las empresas deben limitar los derechos de administración en consecuencia. El riesgo es evidente: un administrador no confiable, o demasiados empleados con derechos de administración, puede deshacer los pasos que ha implementado para mantener su sistema seguro.
Ejemplo: Una empresa de tecnología utiliza el mismo inicio de sesión para todos los empleados. El inicio de sesión tiene derechos administrativos que permiten a los empleados de TI designados hacer cambios en todo el sistema. Pero ese mismo inicio de sesión es utilizado por la recepcionista de la compañía, un asistente de ventas y un pasante de verano. El enfoque más sabio es que la compañía requiera inicios de sesión diferentes con solo aquellos privilegios necesarios para que ese empleado haga su trabajo.
La lección para los negocios es restringir los "pases detrás del escenario" a la información confidencial. Limite el acceso a datos confidenciales a los miembros del personal que lo necesitan para el desempeño de sus deberes.
Siguiente en la serie: Requerir contraseñas seguras y autenticación.
