SEGURIDAD | Noticias | 12 MAR 2018

Privacidad de los datos: lo que sus empleados no saben, pero deberían saber

Los empleados tienden a tener importantes lagunas en su conocimiento de privacidad de datos, particularmente sobre los requisitos de manejo de datos de regulaciones como el GDPR y EU-U.S.
seguridad
Thor Olavsrud

¿Qué entienden los empleados de su organización sobre seguridad, privacidad de datos y cumplimiento? Según un informe reciente de MediaPro, quizás no tanto como deberían. Con la privacidad de datos convirtiéndose rápidamente en un tema candente y el Reglamento General de Protección de Datos de la Unión Europea (GDPR) a la vuelta de la esquina, lo que sus empleados no saben sobre el manejo de datos en su empresa podría causarle problemas.

En general, los empleados de EE. UU. Son expertos en la identificación de documentos confidenciales y privados, y entienden si tales datos deben destruirse o almacenarse de manera segura. Sin embargo, tienen dificultades con las regulaciones de privacidad (especialmente el GDPR y el Escudo de privacidad UE-EE.UU.), así como con el manejo de datos confidenciales en su vida personal y profesional.

En octubre del año pasado, MediaPro, especialista en concientización de seguridad, concientización de privacidad y capacitación en cumplimiento, encuestó a 1.007 residentes de EE. UU. Sobre las mejores prácticas y regulaciones de privacidad de datos. Preguntó a los participantes qué harían en cinco escenarios de la vida real que podrían desarrollarse en casi cualquier oficina corporativa en todo el país. MediaPro recopiló los resultados en su informe Eye on Privacy de 2018, publicado a principios de este año.

El informe muestra que las empresas podrían estar haciendo un mejor trabajo educando a sus empleados sobre cómo manejar datos confidenciales.

Regulaciones de privacidad nacionales y globales

Un área de preocupación para muchos CIO debe ser el conocimiento de los empleados de las regulaciones de privacidad nacionales y globales.

Los encuestados mostraron la mayor conciencia de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), que regula la seguridad de la información de salud protegida de los residentes de los EE. UU.

Pero cuando se trata de regulaciones como la GDPR, que la UE comenzará a aplicar el 25 de mayo, la imagen es muy diferente. El 59 % de los encuestados dijo que el GDPR era completamente nuevo para ellos. El veinticuatro % había oído hablar de la regulación, pero reconoció que hay más por saber, el 13 % dijo que sabía lo básico y el cuatro % se consideraba un experto.

Eso debería ser una preocupación especial para los CIO, porque las multas por incumplimiento podrían sumar 4 % de la facturación global anual de su organización, o $ 27 millones, lo que sea mayor.

Entre los empleados encuestados, se sabe mucho menos sobre EU-U.S. Regulación del Escudo de Privacidad, que es un marco legal para compartir datos transatlánticos entre organizaciones y compañías en los Estados Unidos y la UE. El sesenta y tres % de los encuestados dijo que Privacy Shield era completamente nuevo para ellos, y solo el 23 % dijo que conocía los conceptos básicos. Los encuestados que trabajan para algún tipo de gobierno eran los menos propensos a conocer el Escudo de privacidad: el 76 % dijo que el marco era completamente nuevo para ellos.

Documentos confidenciales y privados

MediaPro solicitó a los encuestados que realicen una de tres acciones: publicar en las redes sociales, destruirlas en una trituradora segura o asegurarlas en un cajón cerrado con llave cuando se presentó con ejemplos de documentos e información comúnmente encontrados en un entorno de oficina. MediaPro encontró que los encuestados tenían una idea general de qué acción tomar dependiendo de la información. Por ejemplo, la mayoría de los encuestados optaron por destruir una vieja pista de contraseña y un ex empleado formulario de impuestos de hace tres décadas en una trituradora segura (75 % y 74 %, respectivamente), o mantenerlos en un cajón bloqueado (22 % y 24 %, respectivamente).

Lo mejor es que determinen correctamente cómo se deben tratar los documentos y la información. Asegúrese de que sus empleados conozcan el contexto completo de la información. Asegúrese de que comprendan los tipos de documentos que son delicados, pero también qué información hay en ese documento y qué consecuencias puede tener el incumplimiento de esa información para el usuario final.

Otorgar acceso a aplicaciones de terceros

Cuando se trata de otorgar permisos de aplicaciones los resultados están muy relacionados con la edad. Los encuestados de 55 años o más dijeron que responden "nunca" a una solicitud de permiso de aplicación el 59 % del tiempo. Los encuestados en el grupo de 35-54 años dijeron que respondían "nunca" el 52 % del tiempo. Y los encuestados en el rango 18-34 respondieron "nunca" el 42 % del tiempo.

Entre todos los grupos de edad, los encuestados fueron más protectores con sus mensajes de texto: el 68 % de los encuestados dijeron que "nunca" otorgaron permiso a aplicaciones de terceros para lee sus mensajes de texto. Los encuestados también protegieron sus contactos, el historial del navegador y sus contenidos de tarjeta SD (58%, 56% y 56%, respectivamente, dijeron que nunca le darían permiso a las aplicaciones de terceros para leer / modificar o acceder). Pero los encuestados fueron mucho más cómodo con otros permisos: el 68 % dijo que "a veces" otorga permiso a aplicaciones de terceros para informar la ubicación precisa a través de GPS y / o datos de red; el nueve % dijo que "siempre" conceden el permiso. El 50 % dijo que "a veces" otorga permiso para acceder a la ubicación del dispositivo incluso cuando la aplicación no se está ejecutando; el siete % dijo que "siempre" otorgaba el permiso.48 % dijo que "a veces" otorgan permiso para grabar audio; el siete % dijo que "siempre" otorgaba el permiso. El 48 % dijo que "a veces" otorgaba permiso para agregar o modificar eventos del calendario; el siete % dijo que "siempre" lo hacen. El 54 % dijo que "a veces" otorga permiso para tomar fotografías y grabar videos. Entender las consecuencias de los permisos es especialmente importante porque los dispositivos móviles contienen invariablemente una combinación de información personal y comercial.

Sensibilidad de tipos específicos de información

Cuando se les pidió que clasificaran ocho tipos de información según su sensibilidad en una escala de 0 a 5 (siendo 5 el más sensible), los encuestados estuvieron de acuerdo en que los números de Seguridad Social fueron los más sensibles: el 89 % los clasificó en un 5 y seis % los calificó como 4. La información de la tarjeta de crédito también se consideró delicada: el 76 % la clasificó en 5 y el 19 % la calificó en 4. De manera similar, el 71 % clasificó la información tributaria en un 5 y 19 % la clasificó en 5. Los encuestados consideraron la información de redes sociales el tipo de información menos sensible: el 58 % clasificó las publicaciones en redes sociales en 0 ó 1.

La encuesta encontró que los encuestados generalmente podían determinar correctamente qué escenarios requerían informes y cuáles no. Por ejemplo, el 83 % de los encuestados determinó correctamente que encontrar información confidencial cerca de una impresora era un incidente denunciable. Sorprendentemente, mientras que el 91 % de los encuestados señaló correctamente que deberían informar que un ciberdelincuente había robado los nombres, direcciones y nacimiento fechas de varios clientes, 8% no estaban seguros y 2 % eligieron "no informar".

MediaPro descubrió que los empleados del sector tecnológico eran los menos propensos a identificar incidentes reportables correctamente. Solo el 82 % de los encuestados del sector tecnológico dijo que descubrir un ciberdelincuente había robado información sensible del cliente era un incidente denunciable.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios