6 Consejos de Seguridad de Datos para Empresas
En la última década, a medida que los esfuerzos de digitalización barrieron todos los sectores, los datos y los datos sensibles, en particular, se han convertido en un producto cada vez más valioso, atrayendo la atención tanto de los cibercriminales como de los legisladores. Las empresas que colectan la información personal de los empleados y clientes se han convertido en objetivos atractivos para los ciberataques y, debido a los ingresos que tienen, caen con frecuencia bajo la incidencia de muchas de las nuevas regulaciones de protección de datos.
Frente al doble desafío de la protección de datos y del cumplimiento, las empresas han empezado a invertir fuertemente en estrategias de protección de datos, pero optan a menudo a centrarse en las amenazas externas. Y aunque estos representan aproximadamente la mitad de todas las violaciones de datos, el 49% de ellas se deben a errores humanos y fallas del sistema, de acuerdo al Cost of a Data Breach Report de 2019 publicado por el Instituto Ponemon e IBM Security.
La seguridad de datos puede ser fácilmente comprometida por la negligencia de los empleados: un correo enviado a una dirección equivocada, un USB olvidado en un lugar público o archivos demasiado grandes para enviarlos como adjunto de correo y transferidos por servicios de terceros con prácticas de seguridad escasas. ¿Qué pueden hacer las compañías para asegurar que sus datos estén seguros, no solamente de las amenazas externas, pero también de las internas? Aquí están nuestros consejos.
Realizar auditoría de datos
La auditoría de datos es el fundamento de cualquier estrategia de protección de datos apropiada. La razón es obvia: antes de que las empresas puedan empezar a proteger sus datos, tienen que saber qué tipo de información personal se colecta, dónde está almacenada y cómo se está utilizando. Encontrando y monitorizando los datos sensibles, las empresas pueden descubrir vulnerabilidades en el flujo de datos y pueden tomar decisiones informadas en el momento de elaborar sus estrategias de protección de datos.
Al abordar los riesgos identificados, las empresas también pueden ahorrar dinero mediante la implementación de soluciones personalizadas para las vulnerabilidades que enfrentan los datos dentro de su red. La monitorización de datos también puede ayudar a las empresas a descubrir malas prácticas de seguridad de datos entre los empleados, lo que les permite desarrollar una capacitación definida más eficiente.
Educar a los empleados
Las empresas se tienen que asegurar de que los empleados entiendan la importancia de la protección de datos y las consecuencias reputacionales y financieras de una filtración de datos. Los entrenamientos se deben ofrecer a todos los empleados que trabajan directamente con datos sensibles, asegurándose de que ellos conozcan las mejoras prácticas de seguridad de datos y los pasos que tienen que seguir para evitar un potencial incidente de seguridad.
El entrenamiento de los empleados puede ser altamente mejorado proporcionando claros escenarios que puedan ocurrir en sus tareas diarias. El consejo práctico que se puede aplicar directamente a final de un entrenamiento representa también una parte importante de cualquier ejercicio de entrenamiento exitoso. También se puede utilizar para corregir prácticas identificadas potencialmente peligrosas durante la auditoria de datos.
Comprender el cumplimiento y los requisitos reglamentarios
Mientras que una estrategia de protección de datos robusta puede mantener seguros los datos sensibles de una empresa, no significa necesariamente que también cumple con las regulaciones de protección de datos. De hecho, muchas legislaciones nuevas, como la Regulación General de Protección de Datos (GDPR) europea o la Ley de Privacidad del Consumidor de California (CCPA) no requieren solamente que las empresas aseguren sus datos, pero también ofrecen nuevos derechos a los sujetos de datos, cómo el derecho de ser olvidado u el derecho de optar por la exclusión de la venta de su información personal.
También puede ser que, si bien la auditoría de datos ha demostrado que una empresa tal vez no requiere ciertos mecanismos de protección, la ley puede exigir que los implemente, independientemente de si son útiles para ellos o no. Por lo tanto, es esencial que las empresas comprendan qué requisitos de cumplimiento se aplican a su sector y país y asegurarse de que sus estrategias de protección de datos los integren.
Proteger los datos en movimiento
Muchas empresas tienden a enfocar sus estrategias de protección de datos en los datos sensibles encontrados dentro del límite de la red de la empresa. Sin embargo, debido a que el trabajo remoto está ganando popularidad o se ve forzado por emergencias, cómo la reciente pandemia del COVID-19, las estrategias de protección de datos deben incluir también políticas que aseguren que los datos almacenados en los dispositivos de la compañía permanezcan protegidos, ya sea que estén en la oficina o no.
El uso de los VPN y de las soluciones de protección de datos que aplican políticas a nivel del punto final y por lo tanto continúan activas fuera de las redes de la empresa son unas de las cosas que las compañías deberían considerar en el momento de desarrollar las estrategias de protección de datos en el trabajo remoto.
Controle los dispositivos que se conectan a su red
Los dispositivos portátiles, cómo los USB, son otro punto ciego para las estrategias de protección de datos. Ahora siendo una herramienta de piratería popular y un elemento que se pierde con frecuencia, los USB han estado socavando las estrategias de protección de datos de las empresas durante años. Las empresas tienen la opción de bloquear el uso de ellos por completo, adoptando herramientas de control de dispositivos que les permite bloquear o limitar el uso de los puertos periféricos y USB en las computadoras de la empresa.
Alternativamente, pueden introducir el uso de dispositivos confiados (Trusted Devices), permitiendo que solamente los dispositivos extraíbles emitidos por la empresa se puedan conectar a una computadora de trabajo. Existe también la posibilidad de forzar la encriptación en todos los dispositivos USB que se conectan a un punto final de la empresa, asegurándose de que cada vez que un empleado copia archivos en un USB, estos se cifrarán y no se podrán acceder sin una contraseña.
Implementar un plan de respuesta de violación de datos
Finalmente, ninguna estrategia de protección de datos es infalible. Incluso los Controles de Seguridad Críticos CIS 20 completos solo pueden prevenir el 97% de todas las violaciones de datos. Esto se debe principalmente a la imprevisibilidad de los incidentes de seguridad. Se puede descubrir y explotar una nueva vulnerabilidad de software o hardware antes de repararla o un empleado bien capacitado puede estar cansado y cometer un error descuidado.
La manera más efectiva de lidiar con una violación de datos es planificar con anticipación. Al elaborar un plan de respuesta de violación de datos y probarlo, las empresas pueden asegurarse de que, si se produce una violación de datos, se descubran rápidamente sus causas, se tomen medidas correctivas y los empleados sepan exactamente cómo deben proceder. Una respuesta eficiente a una violación de datos puede ahorrar a las empresas gastos considerables y ayudar a mitigar la gravedad de un incidente de seguridad.
