7 formas de proteger su club de salud de una filtración de datos

Nuestra economía digital funciona con datos. La recopilación y el intercambio de datos pueden proporcionar a las empresas -especialmente en el sector del fitness- información vital que ayuda a orientar y servir mejor a los clientes. El intercambio de datos permite a los consumidores disfrutar de una multiplicidad de bienes y servicios, todos ellos disponibles en transacciones rápidas y convenientes.

La desventaja de este flujo e intercambio constante y masivo de información es el riesgo de que los datos se pierdan, sean robados o estén en peligro.

¿Qué es una filtración de datos?

Una violación de datos se produce cuando se accede a datos sensibles, confidenciales o protegidos de otro modo o se divulgan sin el permiso de la empresa que los tiene o del consumidor que los proporciona. Esta información puede incluir:

• información de la tarjeta de crédito,
• números de la seguridad social,
• cuentas bancarias,
• incluso el nombre de usuario o la dirección de correo electrónico de un consumidor en combinación con otros datos de identificación.

¿Cuál es la frecuencia de las violaciones de datos?

Las violaciones de datos pueden implicar cantidades asombrosas de registros. Si ha encendido las noticias en los últimos años, probablemente haya oído hablar de estas cuatro violaciones de datos.

1. En 2017, la agencia de informes de crédito al consumidor Equifax sufrió una brecha que afectó a 146 millones de cuentas.
2. Marriott sufrió una brecha a finales de 2018 que afectó a la información de 500 millones de huéspedes.
3. En 2019, Facebook reveló que los hackers explotaron los errores de software para obtener los inicios de sesión de lo que los funcionarios estimaron inicialmente en 50 millones de cuentas. Hasta la fecha, se considera el peor fallo de seguridad de Facebook.
4. La mayor filtración de datos -hastaahora- corresponde a Yahoo!, en 2013, cuando se estima que se comprometieron 3.000 millones de cuentas. La filtración fue tan masiva y generalizada que Yahoo! no reveló su alcance hasta 2017.

Vale, sé lo que estás pensando: "Los gimnasios no son un gran negocio tecnológico como Yahoo, no tienes mil millones de registros ni nadie que quiera hackear tu gimnasio. Sólo las grandes empresas deben preocuparse por las violaciones de datos".

Si bien es cierto que algunas violaciones de datos se producen debido a una actividad delictiva, como el pirateo de un sistema. Muchas más violaciones son el resultado de sucesos cotidianos, como por ejemplo:

• enviar un correo electrónico con información financiera a la cuenta equivocada,
• o que un empleado pierda un portátil con información sensible.

Su club de salud transporta información valiosa y sensible sobre sus socios y empleados, y protegerla es tanto su responsabilidad como una buena práctica empresarial.

Las violaciones de datos cuestan mucho dinero a las empresas. La violación de datos de Equifax en 2017 podría terminar costando a la empresa hasta 700 millones de dólares. El Instituto Ponemon, que hace un seguimiento del coste de las filtraciones de datos, informó de que el coste total medio de una filtración de datos en 2018 fue de 3,86 millones de dólares y el coste medio por registro robado o perdido fue de 148 dólares.

Si su club tiene 2.000 socios y la mitad de ellos son víctimas de una filtración de datos, podría costarle a su empresa hasta 148.000 dólares. Si a esto le añadimos el daño a su reputación y la pérdida de confianza de sus socios, puede empezar a ver cómo una filtración de datos puede perjudicar a su negocio.

7 formas de prevenir una filtración de datos

Las violaciones de datos no son inevitables. Con las precauciones adecuadas, puede proteger su club de salud de una violación de datos. A continuación, siete prácticas recomendadas para la prevención de violaciones de datos.

1. Crear políticas que limiten el acceso y restrinjan la divulgación de datos sensibles

Cree políticas que limiten quién tiene acceso a los datos sensibles y qué y cuándo se divulgan o comparten los datos sensibles. Por ejemplo, restringir el acceso a la información de pago de los miembros sólo a los empleados que se encargan de la facturación limitaría el acceso a los datos. Mientras que una política que limite la divulgación semanal de la información de facturación sólo a la alta dirección restringiría de forma similar el acceso a los datos de los consumidores. Disponer de políticas que limiten tanto el acceso como la divulgación de datos sensibles es una valiosa herramienta de referencia para los empleados y ayuda a protegerle durante los litigios.

2. Exija contraseñas fuertes

Una contraseña sólida incluye no permitir el uso repetido de contraseñas y exigir que se cambien con frecuencia. Además, considere la posibilidad de utilizar la autenticación multifactorial; esta tendencia requiere la autenticación en un ordenador o portátil, así como en el teléfono del empleado o en otro dispositivo seguro.

3. Políticas de "traiga su propio dispositivo" (BYOD)

Debe decidir si va a permitir que los empleados utilicen sus propios dispositivos para fines laborales. Las políticas de BYOD incluyen consideraciones de seguridad en torno a permitir que los dispositivos externos se conecten a su red.

4. Limitar la instalación de software y el acceso al sitio web por parte de los empleados

La limitación del software se aplica tanto a los dispositivos de la empresa como a los personales utilizados para el trabajo. Debe exigir a los empleados que instalen y utilicen el software que mejor se adapte a sus necesidades de seguridad. Por ejemplo, si Google Chrome es el navegador de Internet más seguro para su empresa, tiene sentido aplicar una política que prohíba el uso de otro navegador, aunque los empleados lo encuentren más cómodo. También debe limitar los sitios web a los que tienen acceso los empleados, ya que pueden contener malware u otros programas dañinos o virus.

5. Cifrado y actualización de software

El cifrado es un método de seguridad que codifica los datos mediante algoritmos matemáticos y deja que sólo las personas que poseen la clave del emisor puedan descifrar el mensaje. Existen múltiples tipos y niveles de cifrado que van desde el cifrado de un solo archivo hasta el cifrado completo del ordenador. El cifrado puede ser especialmente útil como método para proteger un ordenador portátil u otro dispositivo que pueda perderse o ser robado. Hay varios servicios y técnicas de encriptación, y debes buscar uno que se adapte a las necesidades de tu empresa. No hace falta decirlo, pero asegúrate de instalar actualizaciones de software en todos los dispositivos con regularidad.

6. Auditorías periódicas

Para garantizar el cumplimiento de las normas de seguridad, debe auditar sus operaciones internas a intervalos regulares.

7. Acuerdos con los proveedores

La protección adecuada de los datos no termina con sus empleados y equipos, sino que se extiende a otras organizaciones con las que comparte datos y hace negocios. Extienda sus prácticas de seguridad de datos en cualquier acuerdo que tenga con terceros proveedores para garantizar la protección de los datos de su empresa, de sus empleados y de sus miembros.

Es importante recordar que no basta con elaborar y distribuir una política de protección de datos. Usted y su club de salud sólo se beneficiarán de una política de protección de datos si la hacen cumplir.

Muchos estatutos de protección de datos exigen el uso de "medidas razonables" para garantizar la seguridad de los datos sensibles. Aunque no siempre es conveniente, los empleados deben entender que las políticas de protección de datos existen para asegurar los datos de los afiliados y de los empleados, y todos deben seguir las reglas.

No hay una manera infalible de prevenir una violación de datos. Sin embargo, si aplica estas prácticas recomendadas, reducirá significativamente el riesgo de que su empresa sea víctima de una filtración.