Autor Andrada Coos
Los datos se han vuelto omnipresentes: desde procesos y aplicaciones empresariales hasta teléfonos inteligentes, tabletas e impresoras, los lugares donde se almacenan y procesan los datos se han movido más allá de los límites de la infraestructura de red tradicional e, implícitamente, fuera de sus mecanismos de protección.
Como consecuencia, las infracciones de datos se han vuelto cada vez más comunes, lo que lleva a un movimiento global hacia la adopción de regulaciones más estrictas para la protección de los datos personales de los usuarios. En particular, el Reglamento General de Protección de Datos de la UE (GDPR) se considera una legislación pionera que hace cumplir los derechos de las personas y responsabiliza a las empresas por la seguridad de los datos que procesan.
Pero si bien el cumplimiento es importante para evitar multas, la amenaza de violaciones de datos debería ser una llamada de atención a todas las empresas, sin importar desde qué país operan o dónde se encuentran sus clientes. Como se ve a diario en los titulares, los ataques y fugas raramente tienen algo que ver con las fronteras, sino más con la cantidad de datos que almacena y procesa una empresa y la debilidad de sus medidas de seguridad.
En el contexto más amplio de la digitalización, amenazas internas y externas, hay algunas medidas básicas que las organizaciones pueden tomar para crear una base sólida para la protección de datos:
1. Un enfoque centrado en los datos
Las estrategias de seguridad tradicionales se basan en enfoques basados en el perímetro para la protección de datos, como firewalls, antivirus y soluciones antimalware. Si bien estos siguen siendo una parte vital para proteger las redes y la infraestructura de TI de ataques maliciosos, las nuevas tecnologías y prácticas de trabajo han aportado un mayor nivel de flexibilidad y dinamismo a la forma en que se manejan los datos y viajan dentro y fuera de una red.
Entre ellos, el aumento de BYOD y el trabajo remoto, junto con una mayor dependencia de servicios en la nube y de terceros, significa que los datos dejan continuamente la seguridad de las redes internas y entran en entornos vulnerables, a veces, debido al creciente fenómeno de TI en la sombra sin el conocimiento de la empresa
Por lo tanto, es importante que las empresas adopten una mentalidad centrada en los datos cuando debaten sobre las políticas de protección de datos. Lo que esto significa esencialmente es que el enfoque debe pasar de uno exclusivamente dirigido a las redes y la infraestructura de TI a los datos confidenciales que deben ser protegidos dentro de ellos. Cuando el tamaño de un sistema se vuelve fluido y sus extensiones potencialmente peligrosas, es más fácil identificar y proteger conjuntos cruciales de datos.
2. Definir datos confidenciales
Las empresas deben, ante todo, clasificar los datos que recopila y almacena según su importancia. Una categoría, automáticamente considerada sensible y que cae bajo la incidencia de la mayoría de las regulaciones de protección de datos, se refiere a la información de identificación personal que puede usarse para identificar, contactar o localizar a una sola persona. Las PII incluyen nombres, números de tarjetas de crédito, direcciones, correos electrónicos, números de pasaportes, identificaciones de impuestos, etc.
Otra categoría es el tipo de información interna que recolecta cada empresa y que debe mantenerse privada: datos financieros, recursos humanos, contabilidad, facturación, etc. Por último, según el sector particular de una empresa, se pueden definir datos confidenciales adicionales: para hospitales y proveedores de atención médica puede ser información de salud del paciente, para las compañías de software el código de sus productos, para los medios de comunicación y las publicaciones, materiales con derechos de autor, etc.
3. Políticas de protección de datos
Una vez que se han identificado los datos confidenciales, se pueden establecer políticas a nivel de toda la compañía para su protección. Las organizaciones deben primero determinar si hay requisitos de cumplimiento que deben cumplir y trabajar desde ellos como base para incorporar todas las categorías de datos relevantes consideradas de alto riesgo.
Las políticas deben establecerse en consulta con los departamentos a los que pueden afectar, para garantizar que las nuevas medidas de protección no sean engorrosas para el desempeño de sus funciones.
4. Entrenamiento de personal
Otro paso importante hacia una estrategia efectiva de protección de datos es crear conciencia sobre las nuevas políticas y los requisitos de cumplimiento entre los empleados. La mayoría de las veces, desconocen los protocolos que deben seguir para mantener la seguridad de los datos y los riesgos que corre la empresa cuando se descuidan al manejar los datos.
La negligencia de los empleados es una de las principales razones detrás de las filtraciones de información, por lo que la capacitación es crucial para informarles de sus obligaciones en materia de protección de datos, por lo que la procesan con mayor cuidado y concentración.
5. Usar software especializado para proteger los datos
Para garantizar que las políticas de protección de datos se implementen con precisión, se pueden aplicar mediante el despliegue de herramientas especializadas de Prevención de Pérdida de Datos (DLP) que pueden controlar los datos dentro de la red y su tránsito.
Soluciones como Endpoint Protector ofrecen a las organizaciones la opción de transformar las políticas de la compañía en reglas y definiciones, basadas en qué datos se pueden bloquear, borrar o cifrar cuando se encuentran en computadoras de usuarios no autorizados o se cifran automáticamente cuando se transfieren a dispositivos portátiles USB.
En una época en la que la confianza en las empresas se definirá por el nivel de seguridad de los datos que pueden brindar tanto a los clientes como a los empleados, las organizaciones que no logran una estrategia de protección de datos efectiva perderán oportunidades comerciales y usuarios y se verán vulnerables a las infracciones y fugas
Domotes. Es distribuidor mayorita para Colombia de las soluciones de prevención de fuga de datos (DLP) cososys.
Acerca de cososys, Somos una de las pocas compañías de seguridad de TI que extiende la protección más allá de los usuarios de Windows a Mac y Linux. Nuestro portafolio de aplicaciones incluye funcionalidades que incluyen control de dispositivos, seguridad de dispositivos móviles, rastreo de archivos y sombreado, DLP para datos en movimiento y en reposo, seguridad de contraseñas de datos de archivos / datos confidenciales, sincronización de datos y seguridad de red.Oficinas y soporte en todo el mundoTenemos oficinas en Alemania, Estados Unidos, Rumania, Corea del Sur y los Emiratos Árabes Unidos. Más de 130 socios en más de 90 países representan con orgullo los productos CoSoSys, por lo que la ayuda y el soporte siempre estarán cerca si los necesita.
Como resultado, hemos disfrutado de un crecimiento impresionante y hemos ganado numerosos premios conocidos. Esto incluye ser nombrado ganador de las 50 empresas de más rápido crecimiento de Deloitte Technology y reconocido por nuestras Soluciones Endpoint Protector en elCuadrante Mágico Gartner de febrero de 2017 para la Prevención de Pérdida de Datos Empresariales .