Filtraciones, sanciones del RGPD, ciberataques... perder el control de tus datos puede convertirse en una pesadilla. El objetivo: saber dónde están tus datos, quién tiene acceso a ellos, cómo circulan y cómo reaccionar si las cosas van mal. He aquí 7 formas prácticas de proteger sus datos.
1. Mapee sus datos
Objetivo : hacer visible lo invisible (aplicaciones, carpetas compartidas, SaaS, estaciones de trabajo, nubes, exportaciones de Excel, etc.).
- Para hacer
- Enumere su datos sensibles RRHH, clientes, finanzas, I+D, contratos, salud, etc.
- Identifique dónde viven (servidores, SharePoint/Drive, CRM, ERP, correo electrónico, herramientas empresariales).
- Documento quién accede (equipos internos, proveedores de servicios, administradores) y por qué (propósito).
- Localice flujos exportación, sincronización, API, correo electrónico, acceso móvil.
- Buen resultado
- Un mapa + un registro “dónde / quién / por qué / duración” (incluso simple al principio).
- Herramientas (ejemplos)
- DataGalaxy (gobernanza), OpenAudit (inventario) y, en su defecto, una tabla estructurada.
2. Acceso seguro
Objetivo : evitar que “todo el mundo lo tenga todo” y reducir el impacto de una cuenta comprometida.
- Para hacer
- Activar el AMF/2 AMF en todas partes (correo electrónico, VPN, administración, nube, CRM): Okta, Duo...
- Aplique el menor privilegio Derechos mínimos, en el momento adecuado, para la persona adecuada.
- Poner en marcha revisiones de acceso (mensual/trimestral): ¿quién tiene qué? ¿sigue siendo útil?
- Cuentas separadas: cuenta de usuario ≠ cuenta de administrador.
- Qué hay que tener en cuenta
- Cuentas compartidas, acceso “temporal” que se convierte en permanente, antiguos proveedores de servicios.
3. Automatizar las copias de seguridad
Objetivo : poder dar marcha atrás rápidamente (ransomware, mala gestión, corrupción, fallo de la nube).
- Para hacer
- Automatice la frecuencia (diaria en su mayor parte) con Veeam, Backblaze, Acronis...
- Cifrar las copias de seguridad y proteger el acceso (MFA, cuentas dedicadas).
- Aplique el regla 3-2-1 3 copias, 2 soportes, 1 fuera de las instalaciones / inalterable si es posible.
- Pruebe la restauración (no sólo “copia de seguridad OK”, pero restaurar OK).
- Buen resultado
- Un plan sencillo: qué / cuándo / dónde / cuánto tiempo retenido / prueba de restauración.
4. Forme a sus equipos y sensibilícelos
Objetivo : reducir los errores humanos (phishing, contraseñas débiles, intercambio incontrolado).
- Para hacer
- Formación regular, casos reales, reflejos sencillos.
- Simulaciones de phishing + comentarios educativos (sin “name & shame”).
- Normas claras: uso compartido de archivos, uso de la nube, datos personales, USB, BYOD, etc.
- El mínimo efectivo
- “3 reflejos” por todas partes: comprobar / no hacer clic / informar.
- Consejo
- Nombrar “referentes” en cada equipo (embajadores de seguridad).
5. Elegir herramientas adaptadas al RGPD
Objetivo : evitar soluciones opacas, transferencias incontroladas y contratos poco claros.
- Para hacer
- Comprueba los puntos clave: DPA, almacenamiento de datos, ubicación, subcontratistas, período de conservación, registros, exportación, supresión.
- Elija herramientas que ofrezcan control, ajuste fino y trazabilidad.
- Ejemplos
- OVHcloud (alojamiento), Nextcloud (compartición), Matomo (análisis).
- Buenos reflejos
- Antes de comprar: una minirred de RGPD y seguridad (10 preguntas) validada por IT/DPO.
6. Supervisar el uso de la IA
Objetivo : evitar filtraciones involuntarias a través de avisos, archivos adjuntos, copiar y pegar o herramientas gratuitas.
- Para hacer
- Escribe una regla sencilla: sin datos sensibles en la IA pública (clientes, RRHH, contratos, código propietario, secretos, etc.).
- Defina usos autorizados (redacción genérica, reformulación, ideas) y prohibido.
- Sugiera una alternativa: IA empresarial (particionado, con controles, registros, retención).
- Dé ejemplos concretos de “datos sensibles” (de lo contrario, la norma sigue siendo vaga).
- Bono
- Añadir un botón/ritual “eliminar / anonimizar antes de copiar”.
7. Prepararse para la crisis
Objetivo : no improvises cuando ocurra (y ocurre).
- Para hacer
- Cree un plan de incidencias: quién hace qué, quién decide, quién comunica, quién contacta (proveedores de servicios, seguros, CNIL si es necesario).
- Definir escenarios: ransomware, fuga de correo electrónico, robo de PC, cuenta de administrador comprometida.
- Herramientas: centralización de registros/alertas (por ejemplo, Wazuh) + gestión de incidencias (por ejemplo, TheHive).
- Haz un ejercicio de “mesa de trabajo” una o dos veces al año (30-60 minutos).
- Buen resultado
- Una hoja de 1 página: contactos, acciones inmediatas, prioridades, pruebas que conservar.
