La Gobernanza de Datos en la Época del Teletrabajo
La pandemia del COVID-19 tomó por sorpresa a muchas empresas. Las compañías que estaban vehementemente opuestas al teletrabajo por preocupaciones de seguridad y cumplimiento se han visto obligadas a reconsiderar su postura a un ritmo alertamente rápido. Esto significa que las políticas del trabajo remoto fueron reunidas a toda prisa para asegurar que las operaciones de la empresa continúen mientras las medidas de cierre barrieron el mundo.
La realidad del trabajo remoto como la nueva realidad ha significado que todos los marcos de protección de datos cuidadosamente diseñados y las políticas de gobernanza de datos se han convertido repentinamente insuficientes ante un status quo completamente nuevo. Principalmente porque la premisa sobre la cual se construyeron, los empleados que trabajan juntos en una red de la empresa dentro de un espacio de oficina designado, dejo de existir durante la noche. Incluso las empresas que permitieron raramente el trabajo remoto hicieron provisiones para casos tan extremos, ya que todo su personal trabaja desde casa simultáneamente por períodos largos de tiempo. De esta forma, las políticas de trabajo remoto se estiraron o resultaron inadecuadas.
La transición al trabajo remoto envió a muchas empresas al caos, con prácticas de seguridad de datos cada vez más laxas. Los ciberatacantes han tomado ventaja de la situación para aprovecharse de los empleados vulnerables. UNRI reportó que el número de los sitios web de phishing, por ejemplo, han aumentado por un alarmante 350% de enero a marzo de 2020.
Los ataques maliciosos contra las redes y servidores corporativos también experimentaron un aumento a la medida que la pandemia ralentizó los equipos de respuesta que se enfrentaban a los ataques. El cambio hacia la movilidad masiva de la fuerza laboral también conduce a un aumento similar en el movimiento de datos, lo que pone a la información altamente sensible en un mayor riesgo de pérdida y robo.
Un incremento en el uso de la unidad USB
Los dispositivos extraíbles, y las unidades USB en particular, han sido durante mucho tiempo una espina en las estrategias de protección de datos. Con tamaño de bolsillo, fácil de perder o robar, han sido responsables de innumerables fugas de datos durante años. Para empeorar las cosas, en los años recientes, los USB se han convertido en una herramienta popular de infección con malware. Sin embargo, no hay negación de que son prácticas, herramientas fáciles de usar que son una parte esencial de la mayoría de entornos de trabajo.
Los USB y los dispositivos extraíbles son utilizados con más frecuencia por los empleados al salir de las oficinas de la empresa, ya sea para asistir a reuniones de negocios y conferencias o para trabajar de forma remota. La razón es bastante simple: esto es cuando necesitan tomar con ellos archivos y documentos relevantes y es más fácil simplemente copiarlos en un USB, especialmente si los archivos son grandes, para garantizar que tienen acceso a ellos en todo momento.
Y mientras esta puede ser una práctica comprensible en circunstancias normales, se convierte en una gran problemática al ponerla en el contexto de la pandemia del COVID-19. A medida que los empleados se encuentran dejando espacios de oficina familiares, pueden sentir la necesidad de llevar consigo archivos confidenciales y datos sensibles para garantizar que puedan realizar sus tareas de manera efectiva desde su hogar. Como consecuencia, es probable que una gran cantidad de datos confidenciales termine en la nube o en dispositivos extraíbles vulnerables como USB, desde donde los terceros los pueden acceder fácilmente o robarlos.
Un aumento de las amenazas internas
Los despidos masivos en muchos países han llevado a los empleados a temer el despido para copiar archivos corporativos e información confidencial en sus dispositivos personales, con la esperanza de que les resulte útil en el caso de que pierdan sus empleos. Muchas veces, ellos se sienten con derecho a tomar estos documentos, como estos pueden ser el resultado de su trabajo a lo largo de los años.
El deseo de asegurar algo en el futuro puede ser muy peligroso para las empresas por dos motivos. La primera es la posibilidad de que sus empleados, amargados por la pérdida del trabajo, pueden ofrecer los datos sensibles sobre las operaciones del negocio a los competidores o utilizarlos para descreditar a la empresa.
La segunda es que los datos copiados, aunque nunca furos utilizados maliciosamente por los empleados que los han tomado, pueden ser robados o hechos públicos, lo que conduce a posibles multas para las empresas por incumplimiento de las regulaciones de protección de datos. Bajo la nueva ola de la legislación de protección de datos como la Regulación General de Protección de Datos (GDPR) europea y la Ley de Privacidad del Consumidor de California (CCPA), los negocios son legalmente responsables de cualquier violación de datos que involucre los datos sensibles que recopilan.
La protección de datos mientras se trabaja de forma remota
Las empresas pueden tomar medidas para frenar las transferencias de los datos sensibles hacia dispositivos extraíbles utilizando herramientas como soluciones de Prevención de Pérdida de Datos (DLP). Estas pueden bloquear los puertos USB y periféricos, evitando así la conexión de dichos dispositivos a los puntos finales de la compañía o permitiendo que solo dispositivos confiables, como dispositivos extraíbles encriptados emitidos por la compañía se conecten a ellos. Los datos definidos como sensibles también se pueden bloquear frente las transferencias hacia servicios nube populares o sitios web para compartir archivos a través de herramientas de DLP.
El Cifrado Forzado de USB puede ayudar a mitigar la vulnerabilidad de datos en dispositivos extraíbles. A través de él, una solución para encriptación es automáticamente desplegada a cualquier dispositivo USB de almacenamiento confiable conectado a una computadora de la empresa. Una vez instalada, cualquier archivo copiado en los dispositivos USB será encriptado y accesible a través de contraseñas.
Otra característica particularmente útil de las soluciones de DLP es la habilidad de no solo controlar, pero también de monitorear los datos sensibles y registrar sus movimientos. De esta forma, los administradores son notificados cuando un empleado intenta copiar o transferir datos sensibles. De esta forma, las empresas pueden mirar de cerca la información importante y detectar inmediatamente cualquier aumento en la transferencia de datos, ya sea a través de internet o mediante dispositivos portátiles.
