Como profesional de redes y seguridad, J. (J-Dot) Bendonis ha estado conectando activamente a las personas de forma segura a través de la tecnología durante más de 20 años. En Check Point, ha estado ayudando y educando a sus clientes sobre sus opciones en torno a la seguridad cibernética; que van desde las mejores prácticas hasta la arquitectura avanzada y los estados de diseño futuros.
En esta entrevista informativa y exclusiva de CyberTalk, J. Bendonis comparte información sobre la privacidad de los datos de los empleados y exactamente lo que debe saber.
JB: Desafortunadamente, los problemas de privacidad de los empleados están en todas partes en el lugar de trabajo. Piense en la información básica de identificación personal (PII) necesaria para la nómina, las selfies en el lugar de trabajo, el equipo para empleados remotos enviados directamente a sus hogares y las redes sociales. Cada uno de estos elementos viene con sus propias preocupaciones de privacidad.
JB: Comience simplemente informando a los empleados, en un lenguaje sencillo. Explique por qué recopila y almacena cierta información. Vaya más allá de simplemente decir 'las regulaciones lo requieren'. Haga que los empleados se sientan seguros en su trabajo y que sientan que la empresa los respalda en lo que respecta a la privacidad. Si los empleados saben cómo se almacenan sus datos, incluso sin detalles, aprenden lo que implica proteger su propia privacidad. Eso se convierte en un momento educativo para los empleados, que luego protegen más sus propios datos. Una vez que los empleados comiencen a tratar sus propios datos con más cuidado, ellos, a su vez, tratarán los datos de su empleador (en todas sus formas) con cuidado.
JB: Cada organización debe detallar, en un lenguaje sencillo, las políticas de recopilación y retención de datos de sus empleados. Por ejemplo, si dejara la empresa, ¿qué información conservarán sobre usted? Como nota personal, un ex empleador mío experimentó una violación de uno de sus proveedores externos, lo que resultó en que mi información se filtrara años después de que dejé esa compañía. Además, una política de redes sociales bien definida es fundamental. Más que simplemente decir 'no difamarás a la empresa', los empleadores deben ser más inclusivos con el comportamiento general. Políticas como: como no selfies en el lugar de trabajo, y cualquier cámara o grabación durante las reuniones debe ser totalmente consensuada para todas las partes involucradas.
JB: La política de retención es fundamental. Además, los elementos que no son relevantes para el empleo deben ser cuestionados a fondo. Por ejemplo, ¿por qué necesitaría mi empleador saber si soy soltero o divorciado? Ambos tienen el mismo estatus en la medida en que el seguro de salud y el estado de declaración de impuestos en los EE. UU., entonces, ¿por qué debería saberlo la compañía? Creo que una empresa debe recopilar la menor cantidad de datos posible para realizar sus funciones, por lo que un empleado siempre debe preguntar. Hay elementos que toda empresa necesitará: Nombre, fecha de nacimiento, SSN/ TaxID, domicilio, número de teléfono( solo 1), contacto de emergencia. Para artículos como atención médica e impuestos, solo solteros/ casados.
JB: Los empleadores deben eliminar absolutamente todos los registros que no sean necesarios para los impuestos. La Comisión de Seguridad e Intercambio de los Estados Unidos (SEC) requiere que los registros de los empleadores sean auditables durante 7 años, por lo que deberán mantener los datos relevantes de los empleados durante ese período de tiempo. Una vez que hayan pasado esos 7 años, esa información debe purgarse. Además, si bien las empresas deben proporcionar esa información, NO es necesario que sea accesible en línea. Archivar los datos, idealmente sin conexión, es una buena idea. Todos los demás registros, como la información de recursos humanos y la información de atención médica, deben eliminarse de sus sistemas. Esto elimina dos riesgos diferentes: obviamente el riesgo para el empleado, pero también reduce el perfil de riesgo para la empresa. Nadie puede robar información que no tienes. Por último, se deben presentar a los empleados pautas claras sobre lo que la empresa conservará para que los empleados sepan exactamente qué información conservará la empresa después de la salida.
JB: Obviamente, el manejo de los datos de los empleados es imprescindible. La capacitación también debe cubrir qué información son datos específicos de los empleados. También debe incluir términos y definiciones claros para casos como: Lo que debe y no debe publicarse en las redes sociales, y no usar su dirección de correo electrónico profesional para actividades no relacionadas con el trabajo (es decir,no use su correo electrónico del trabajo para comprar en Amazon).
JB: Eso dependería completamente de dónde provengan las imágenes de vigilancia. Si es el vestíbulo delantero y hay un letrero que dice 'Sonríe, estás en la cámara', no creo que los datos sean realmente críticos, ya que no deberían capturar nada sensible. Si esas cámaras pueden ver el estacionamiento, debe estar protegido, encriptado y almacenado de manera segura. ¿Por qué? Registrar y almacenar la marca, el modelo y el número de placa de matrícula de los automóviles de los empleados puede generar un problema de privacidad para los empleados. En mi opinión, realmente importa lo que captan las cámaras. Si están en un lugar que no puede ver información más allá de quién va y viene, probablemente no sea sensible. Además, la resolución de la cámara nunca debe ser una excusa. La tecnología de la cámara se actualiza constantemente. Las cámaras probablemente se actualizarán regularmente y la nueva tecnología capturará más información. En general, sería mejor para las organizaciones tratar cualquier grabación de video de vigilancia con el mismo nivel de privacidad que lo hacen con cualquier PII digital.
Por último, para recibir más noticias, mejores prácticas y análisis de ciberseguridad de vanguardia, regístrese en el CyberTalk.org boletín de noticias.
Post Lo que debe saber: Protección de los datos de los empleados en su lugar de trabajo apareció primero en Charla cibernética.