Guía para establecer la política de destrucción de datos de su empresa

Los rumores de filtraciones o filtraciones de datos pueden aumentar la ansiedad de la mayoría de los ejecutivos de empresa debido a las consecuencias financieras y legales que conllevan. Contar con una política de destrucción de datos establecida para su empresa es crucial teniendo en cuenta cómo los avances tecnológicos han dado lugar a un aumento de los ciberagentes maliciosos. 

Según un reciente informe de IBM sobre la violación global de datos que afecta a 17 industrias en 17 países y regiones, el coste medio estimado de una violación de datos es de 4,24 millones de dólares. Sólo en Estados Unidos, el coste medio asciende a 9,05 millones de dólares, el más caro con diferencia. La conclusión es que la indulgencia con el manejo de los datos de su empresa le costará más de lo que tarda en evitar que la información sensible caiga en manos de piratas informáticos malintencionados.

Afortunadamente, establecer una política eficaz de destrucción de datos es una de las formas más baratas y efectivas de proteger su empresa. Es posible que se pregunte: ¿Qué es una política de destrucción de datos y cómo ayuda a proteger los datos de una empresa? Nuestra guía responde a estas preguntas y trata otros temas que quizá desee conocer para mantener a salvo los datos de su empresa. 

‍

¿Qué es la destrucción de datos?

La destrucción de datos engloba todas las medidas que una empresa emplea para eliminar datos confidenciales en dispositivos de almacenamiento digital. Los dispositivos de almacenamiento pueden ser teléfonos, discos duros, fotocopiadoras, ordenadores portátiles, unidades de estado sólido (SSD), cintas y otros equipos electrónicos que puedan almacenar datos. Para las empresas, la destrucción de datos va más allá del simple borrado de archivos y carpetas. 

Cuando eliminas un archivo o una carpeta, sólo eliminas la ruta que lleva a su ubicación en el dispositivo de almacenamiento. Aunque no se puede acceder fácilmente a los archivos sin un software especializado, los archivos borrados permanecen en las unidades hasta que nuevos archivos los sobrescriben. Una persona más informada digitalmente puede recuperar rápidamente y hacer un uso indebido de la información sobre su empresa, clientes y empleados.

Por lo tanto, la destrucción de datos debe ser exhaustiva para impedir cualquier tipo de recuperación. Para garantizar la permanencia, las empresas suelen emplear diversas técnicas avanzadas de destrucción, como la desmagnetización, el borrado de datos, la sobrescritura, la trituración y la destrucción física de los soportes de almacenamiento.

Para mayor claridad, la destrucción de datos difiere del saneamiento de datos. Aunque ambos procedimientos implican la eliminación adecuada de datos confidenciales, el saneamiento de datos trata de dar prioridad a la reutilización del dispositivo de almacenamiento de datos. Los dispositivos de almacenamiento en soportes magnéticos favorecen el saneamiento de datos para evitar la retención de datos y, al mismo tiempo, mantener el dispositivo de almacenamiento lo suficientemente bueno como para ser reutilizado. 

‍

Legislación sobre destrucción de datos 

Las políticas y la ejecución de la destrucción de datos se informan, se supervisan de cerca y se aplican por ley en todas las empresas de Estados Unidos. Por ejemplo, la incineración de discos duros sigue las directrices proporcionadas por el Instituto Nacional de Normas y Tecnología (NIST).

De hecho, el procedimiento de destrucción de la mayoría de las industrias estadounidenses sigue las normas de higienización de medios establecidas por el Departamento de Defensa. Las empresas deben conocer los siguientes actos para mantenerse dentro del marco legal.

• La Ley de Privacidad de 1974: Esta ley subraya la responsabilidad de una empresa de proteger el derecho a la intimidad de sus clientes. Por lo tanto, una empresa está obligada a garantizar la privacidad de la información de sus clientes. La ley también cubre la responsabilidad de los organismos gubernamentales de ser deliberados en la protección de la información privada que se les confía, incluso en el proceso de utilización de dicha información. La ley se amplió para cubrir información privada como el historial médico, las transacciones financieras, el historial laboral y los datos biométricos.

• La Ley de Transacciones Crediticias Justas y Precisas de 2003 (FACTA): FACTA reitera los detalles de la Ley de Privacidad, especialmente en lo que se refiere a la Información de Identificación Personal (PII). El Departamento de Seguridad Nacional (DHS) define la IIP como "cualquier información que permita deducir directa o indirectamente la identidad de una persona, incluida cualquier información vinculada o vinculable a esa persona, independientemente de que la persona sea ciudadano estadounidense, residente legal permanente, visitante en EE.UU. o empleado o contratista del Departamento". FACTA detalla cómo una empresa sigue siendo responsable de mantener la información de sus clientes privada y a salvo de manos autorizadas. La empresa debe cumplir esta obligación incluso cuando se deshaga de la información.
• Ley Gramm-Leach-Bliley (GLBA): Es la Ley de Modernización Financiera aprobada en 1999. Obliga a las empresas (especialmente a las financieras) a informar a sus clientes de cómo piensan utilizar o compartir su información financiera privada.
• La Ley de Seguridad Social de 1934: Esta ley detalla la información prohibida que las empresas nunca pueden revelar a terceros. La información protegida por esta ley empieza por el número de la Seguridad Social del cliente. El castigo por violar esta información se aplica tanto si la empresa la facilita a propósito como si la filtra por negligencia.

Además, los estados tienen leyes que regulan la destrucción de datos. La Ley de la Comisión Federal de Comercio (FTC) y la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) son leyes más recientes que protegen la IPI de las personas, empresas y organizaciones.

‍

¿Qué es una política de destrucción de datos?

El avance de las tecnologías de la información ha influido significativamente en el funcionamiento de las empresas. Por ello, las empresas deben establecer políticas o procedimientos de seguridad adecuados para tratar la información personal identificable (IPI) de sus clientes. 

Una política de destrucción de datos es un protocolo que una empresa establece para eliminar de forma total y segura los datos de sus dispositivos de almacenamiento. La idea es evitar el uso indebido o el acceso no autorizado a información privada debido a una eliminación ineficaz. Una política eficaz protege contra la retención de datos de cualquier forma y garantiza la higienización, el borrado o la eliminación completa de los datos confidenciales. 

‍

¿Qué tipo de datos hay que destruir? 

Las empresas deben destruir los siguientes elementos para proteger los datos de los clientes, de acuerdo con la legislación vigente sobre destrucción de datos:

• Tarjetas de identidad
• Extractos bancarios
• Facturas de tarjetas de crédito
• Cheques nulos
• Contratos
• Presupuestos
• Informes internos
• Aplicaciones
• Tasaciones
• Lista de clientes
• Formularios de contacto con el cliente
• Dispositivos de almacenamiento retirados de la empresa
• Expedientes de los empleados
• Estados financieros
• Informes médicos

‍

Razones por las que su empresa necesita una política de destrucción de datos

Adoptar un enfoque proactivo para proteger los datos de clientes y empleados mediante una destrucción de datos eficaz beneficia a una empresa de muchas maneras.

En primer lugar, una política integral de destrucción de datos protege a su empresa de las filtraciones de datos y del acceso no autorizado a la información de la empresa. El marco estructural proporciona un patrón que guía la destrucción de distintos tipos de datos de diferentes dispositivos, haciendo que el proceso se realice sin esfuerzo y de forma exhaustiva.

Además, una política de destrucción de datos mejora la confianza de sus clientes en usted. Les da tranquilidad a la hora de negociar con usted, eliminando dudas y objeciones en su proceso de venta. 

Además, la creación de una política para abordar la destrucción de datos protege a su empresa de incumplir por negligencia las leyes locales o federales. 

‍

Los componentes esenciales de una política de destrucción de datos

Toda política de destrucción de datos debe comenzar con una estructura completa que defina funciones y responsabilidades. La política de destrucción de datos debe estructurarse de forma que refleje las necesidades y circunstancias de su empresa. Repasemos algunos de los componentes esenciales que debe incluir su política.

‍

Declaración de principios 

Lo mejor sería empezar la destrucción de datos presentando la política o declaración de política, el número de la política y el título. 

Su declaración política debe incluir:

• Antecedentes de la necesidad de una política de prevención de datos
• Introducción a los demás componentes de la política
• Responsables de la elaboración de la política
• Funciones de los distintos departamentos en relación con la política
• Detalles sobre cuándo entrará en vigor la política
• Directrices para la aplicación de la política de destrucción de datos
• Normas para medir los resultados de la política

‍

Propósito 

A continuación, su política de destrucción de datos debe abordar por qué la empresa necesita crear una. El propósito debe aclarar los antecedentes, la importancia y las consecuencias asociadas a la destrucción de datos. Lo mejor sería que también intentara enumerar los beneficios de las políticas para las distintas partes interesadas.

Alcance 

El ámbito de aplicación debe detallar el alcance y los límites de la política. Ayuda a definir qué departamentos o actividades se verán afectados y cómo espera que la política modele la empresa. Lo mejor sería que también abordara los departamentos, empleados y operaciones que se verán afectados por la política, incluyendo sus funciones y responsabilidades y las consideraciones que se hacen para ellos.

Declaraciones de procedimiento 

La declaración de procedimiento debe dar detalles concretos de los protocolos a aplicar en el proceso de destrucción de datos. 

Debe incluir lo siguiente:

• Relación entre todas las partes responsables en el proceso de destrucción de datos
• Herramientas y recursos que la empresa ha proporcionado para la destrucción de datos
• Aplicación paso a paso del procedimiento de destrucción
• Dónde y cómo informar sobre los detalles de las actividades de destrucción de datos

‍

Ejecución 

No basta con crear y comunicar su política de destrucción de datos. Tiene que incluir un protocolo de responsabilidad para garantizar que la política se cumple estrictamente. El cumplimiento de la política debe comenzar con una política de revisión y actualización.

Debe incluir una definición adecuada para medir los resultados de la política. Además, deben establecerse claramente las consecuencias del incumplimiento de la política, junto con un sistema de seguimiento y evaluación.

‍

Garantice la seguridad de los datos de su empresa con Phonecheck

Una política de destrucción de datos protege los datos de su empresa contra el acceso no autorizado o la violación por parte de agentes malintencionados. Esto contribuye a una imagen de marca positiva y a la confianza de los clientes. Sin embargo, la mayoría de las empresas no saben cómo destruir datos de forma eficaz. Ahí es donde Phonecheck entra en juego.

Puede evitar costosos problemas ocultos adquiriendo un informe del historial en Phonecheck por el precio aproximado de una taza de café. Nuestro software empresarial estándar garantiza que los datos confidenciales de la empresa se borran de los distintos dispositivos de almacenamiento antes de su venta o eliminación. De este modo, podrá desarrollar su actividad con total confianza sabiendo que su información confidencial está a salvo.

‍