This post is also available in:
Como la semana pasada fue el Día de la Seguridad de los Datos , tuvimos una invitada, Irina Maltseva, que habló sobre la protección de las pequeñas empresas frente al fraude en los pagos. Sin embargo, olvidamos el otro aspecto importante de la seguridad de los datos en nuestras empresas, y sólo nos damos cuenta de su importancia cuando algo sale mal. Me refiero, por supuesto, a los equipos jurídicos y de seguridad que parecen desvanecerse en la nada hasta que llega el momento de la formación en seguridad digital o se produce una violación de datos.
Cualquier empresa que posea o acceda a datos confidenciales de clientes debe ser consciente de la confianza que depositan en ella sus clientes. No puedes pedir a tus clientes que te den su información si no eres consciente de la responsabilidad que tienes de mantener esos datos seguros.
Simplybook.me es una de esas empresas, y prestamos mucha atención a cómo almacenamos y accedemos a esa información. Tenemos un responsable jurídico y de seguridad, junto con otro responsable de seguridad de la información, que se aseguran de que siempre estemos en el buen camino.
Presentamos a nuestros Cuerpos de Seguridad
Por favor, muestre su agradecimiento a nuestro personal de seguridad por su increíble dedicación a su trabajo. Les presentamos a Georgia, nuestra Directora Jurídica y de Seguridad, y a Maryna, nuestra Consultora de Seguridad de la Información.
Les hicimos algunas preguntas sobre lo que hacen en su día a día y cómo se mantienen al día de los requisitos.
Georgia
¿A qué te dedicas?
Combino las dos funciones de responsable jurídico y de seguridad. Mi principal responsabilidad es garantizar el mantenimiento de nuestro Sistema de Gestión de la Seguridad de la Información, Certificado ISO 27001:2013 . En términos sencillos, necesito entender cómo utilizamos los datos y cómo los transferimos a toda nuestra organización. Debe viajar de forma segura y con las tecnologías adecuadas.
¿Cómo garantizar el cumplimiento de la seguridad de los datos y las leyes que los protegen?
El primer paso es asegurarnos de que estamos al día de los cambios en la legislación aplicable y ver cómo se aplican a nuestras operaciones comerciales. Después, tenemos que comunicarnos con nuestros expertos informáticos y realizar cualquier mejora en nuestros controles de seguridad establecidos. El cumplimiento requiere una supervisión diaria y coherente de las operaciones empresariales y los controles establecidos, con una comunicación interna periódica.
¿Cómo se mantiene al día de los cambios, etc.?
Principalmente controlo los sitios web de los organismos reguladores pertinentes. Además, sigo otros canales:
- Sigo en LinkedIn a organizaciones y profesionales del sector,
- Suscríbase a las organizaciones pertinentes y, cuando sea posible,
- Asista a conferencias o seminarios web en línea para formarse o establecer contactos.
Evaluamos los cambios importantes y los presentamos a la alta dirección. A continuación, trabajamos juntos para introducir los cambios necesarios en nuestros controles de seguridad establecidos.
¿Cómo asegurarse de que todo el mundo sabe cómo debe mantener la seguridad de los datos?
- Cada nuevo empleado pasa por la inducción/formación del primer día
- Todos los años, todos los empleados deben recibir una intensa formación anual sobre seguridad y privacidad de los datos.
- Realizamos auditorías anuales para comprobar que los empleados siguen las políticas y procedimientos.
En general, existe confianza en que todo el mundo comprende la importancia de seguir las políticas y procedimientos internos de seguridad de datos. Sin embargo, a medida que la empresa ha ido creciendo, hemos empezado a aplicar un recordatorio continuo de las prácticas y procedimientos de seguridad a lo largo del año. Recientemente hemos empezado a utilizar una herramienta de formación que envía a todos los empleados recordatorios mensuales y actualizaciones de las políticas a lo largo del año.
Maryna
¿A qué te dedicas?
Tengo el cargo de Consultor de Seguridad de la Información. Yo, como Georgia, contribuyo a garantizar que la seguridad de la información en la empresa cumpla los requisitos de las normas internacionales, especialmente la ISO 27001.
Mis principales responsabilidades son:
- Garantizar que se abordan los requisitos de cumplimiento relacionados, por ejemplo, las normativas y controles de seguridad asociados a la norma ISO 27001:2013.
- Garantizar procesos adecuados de mitigación de riesgos y control de incidentes de seguridad según sea necesario.
- Documentar y difundir políticas, procedimientos y directrices de seguridad de la información.
- Ayudar a coordinar el desarrollo y la aplicación del programa de formación y concienciación sobre seguridad de la información.
- Ayudar a coordinar una respuesta a las violaciones reales o presuntas de la confidencialidad, integridad o disponibilidad de los activos de información.
- Ayudar a inventariar los activos de la empresa, por ejemplo, llevar el registro de activos de hardware.
- Realización de auditorías de seguridad de la información planificadas y no planificadas de conformidad con la norma ISO 27001 u otras normas.
- Participar en la elaboración de planes de continuidad de las actividades y en la evaluación de riesgos.
¿Cómo se mantiene al día de los cambios?
Para mejorar mis conocimientos, a veces me pongo en contacto con mis antiguos colegas de este campo para intercambiar información, leo artículos con nuevas implantaciones de controles de seguridad e intento asistir a diversos actos de formación.
Seguridad de los datos en los sistemas
Aunque nuestros responsables jurídicos y de seguridad dedican la mayor parte de su tiempo a ocuparse del lado humano de la seguridad de los datos, sus investigaciones y descubrimientos también influyen en la forma en que procesamos los datos dentro del sistema SimplyBook.me (y, por supuesto, SimplyMeet.me y SBPay.me).
Nuestro equipo de Seguridad ha trabajado muy duro para garantizar que nuestro sistema y nuestras políticas se adhieran estrictamente a las leyes en torno al GDPR y otras políticas más localizadas en Estados Unidos y Australia. Todo el mundo tiene que tener su propia versión de las leyes de protección de datos y privacidad, con pequeños retoques y cambios. Sin embargo, prácticamente todas las diferentes versiones de las leyes de protección de datos cubren el mismo terreno.
Es responsabilidad de Georgia y Maryna garantizar que nuestras normas de seguridad y privacidad de datos se ajustan a la legislación de todos los países en los que se utiliza nuestro sistema para conservar los datos de los clientes.
Seguridad de los datos e importancia de la privacidad, para nosotros y para usted
Nos comprometemos a garantizar la privacidad de los datos de nuestros clientes. Sin embargo, también somos muy conscientes de que nuestras políticas de seguridad de datos le afectan a usted y a sus clientes. Usted es igual de importante, desde el único operador de un negocio de peluquería hasta la clínica médica que maneja información sensible de los pacientes. Si su empresa guarda información de sus clientes, tenemos que ser capaces de mantener la seguridad de los datos que promete a sus clientes.
Considere cuánto podría costarle pagar daños y perjuicios por una violación de la privacidad de los datos. Podría ser mucho y suficiente para paralizar su negocio. Por no hablar de los clientes que podrían no querer volver después de un incidente así. Si elige una empresa con un equipo de seguridad consolidado y muchos elementos de seguridad de uso gratuito, se estará protegiendo de los peligros de una empresa desprotegida y permitirá que sus clientes confíen en usted.
Gracias, Georgia y Maryna. Apreciamos y valoramos su duro trabajo.