Mejores prácticas de seguridad de datos para la fabricación de productos eléctricos y electrónicos
El procesamiento de datos se ha convertido en una parte integral de todas las empresas, independientemente del sector en el que operen. Aunque el sector de la fabricación de productos eléctricos y electrónicos no recoge datos de los consumidores a gran escala, genera y adquiere otros tipos de datos altamente sensibles, como códigos fuente, patentes, diseños e información de propiedad.
Los fabricantes de productos electrónicos y eléctricos suelen formar parte de la cadena de suministro de organizaciones más grandes y necesitan firmar acuerdos de no divulgación (NDA) que garanticen la confidencialidad de los datos y, en el caso de ciertas industrias, incluso someterse a evaluaciones de seguridad de la información si desean asegurarse un contrato.
Este es el caso, por ejemplo, de la industria automovilística alemana. Los fabricantes de equipos originales (OEM), pero también los socios y las empresas que forman parte de la cadena de suministro de la automoción, estén o no radicados en Alemania, deben someterse a la evaluación de un estándar de información de seguridad (Trusted Information Security Assessment Exchange – TISAX) para demostrar que la empresa tiene un nivel adecuado de seguridad de la información.
En Estados Unidos, las aproximadamente 300.000 empresas que hacen negocios dentro de la cadena de suministro de la Base Industrial de Defensa (DIB) necesitan obtener una Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para poder licitar, ganar o participar en un contrato del Departamento de Defensa.
Como tal, las violaciones de datos pueden ser desastrosas para los fabricantes de productos eléctricos y electrónicos. Pueden afectar gravemente a la confianza de los clientes, del mercado y de los socios, y dañar las posibilidades de las organizaciones de conseguir nuevos contratos.
Si les roban su propiedad intelectual (PI), las empresas pueden perder su ventaja competitiva y sufrir un duro golpe en su cuenta de resultados. Según el Informe sobre el Coste de una Violación de Datos 2021 realizado por IBM y el Instituto Ponemon, las empresas manufactureras, incluidas en su categoría industrial, tienen un coste medio de violación de datos de 4,24 millones de dólares por violación de datos.
Para evitar incurrir en los elevados costes, tanto financieros como de reputación, asociados a las violaciones de datos, los fabricantes de productos eléctricos y electrónicos deben seguir las mejores prácticas para garantizar la seguridad continua de los datos. Estas son nuestras principales recomendaciones.
Proteger los datos sensibles de las amenazas internas
La mayoría de las estrategias de protección de datos se centran en la prevención de ciberataques orquestados por personas ajenas a la empresa y no reconocen que el mayor punto débil de la seguridad de una empresa suelen ser sus propios empleados.
A través de ataques de phishing y de ingeniería social, pueden ser el punto de entrada de los ciberdelincuentes en la red de una empresa. En la industria manufacturera, en particular, los empleados malintencionados que buscan vender información confidencial o llevarse la propiedad intelectual con ellos cuando dejan la empresa representan un alto riesgo.
Sin embargo, el tipo más frecuente de amenaza interna es la negligencia. Al tomar atajos para resolver los problemas más rápidamente, los empleados pueden adoptar el uso de herramientas de colaboración no verificadas, transferir archivos a través de la nube insegura y servicios de intercambio de archivos o dejar archivos expuestos en lugares vulnerables.
Los fabricantes pueden utilizar soluciones de prevención de la pérdida de datos (DLP) con capacidades de descubrimiento de contenidos para identificar, supervisar y controlar los datos sensibles, tanto si se almacenan localmente en los ordenadores de los empleados como si se transfieren.
Las empresas pueden definir lo que significan los datos sensibles en el contexto de su propio negocio; también pueden elegir perfiles predefinidos para la Información de Identificación Personal (PII) y la propiedad intelectual, como patentes, planos y código fuente. Con el escaneo contextual y la inspección de contenidos, las herramientas de DLP pueden buscar datos sensibles en cientos de tipos de archivos, registrando, informando y bloqueando su transferencia.
Dirigirse a los datos sensibles almacenados localmente
Los empleados pueden olvidarse de borrar los archivos sensibles de sus registros una vez que han completado una tarea. También pueden acceder accidental o intencionadamente a datos sensibles sin que la empresa lo sepa. Esto puede acarrear problemas, especialmente en el caso de información confidencial protegida por acuerdos de confidencialidad con clientes o socios. Para cumplir con sus obligaciones legales, los fabricantes deben tener una forma de garantizar que los datos sensibles no sean vulnerables ni se acceda a ellos por parte de personas no autorizadas.
Las organizaciones pueden utilizar soluciones de DLP para buscar en todos los ordenadores de la empresa archivos que contengan información sensible. Cuando se encuentran en ubicaciones no autorizadas, los fabricantes pueden tomar medidas correctoras y eliminar o cifrar automáticamente los archivos que contienen datos sensibles directamente desde el panel de control de la DLP.
Controlar los dispositivos extraíbles
Los empleados conectan regularmente dispositivos extraíbles a los ordenadores del trabajo para completar sus tareas, para compartir información o para llevarse los datos cuando trabajan a distancia o viajan por negocios fuera de la empresa. Aunque son muy útiles, los dispositivos extraíbles amenazan la seguridad de los datos, ya que las organizaciones no pueden controlar cómo se protegen o utilizan los datos almacenados en ellos. Debido a su tamaño, también son fáciles de perder o robar.
Los fabricantes pueden utilizar soluciones DLP como Endpoint Protector, que vienen con funciones de control de dispositivos, para hacer frente a este riesgo. A través de ellas, las empresas pueden bloquear el uso de puertos USB y periféricos, así como las conexiones Bluetooth, o limitar su uso a los dispositivos aprobados. De este modo, las empresas pueden controlar qué empleado ha intentado copiar archivos sensibles en dispositivos extraíbles y qué dispositivo se ha utilizado.
Las políticas granulares también pueden permitir diferentes permisos según el usuario, el grupo o el departamento. Por ejemplo, a alguien que trabaje con datos sensibles todos los días se le puede prohibir el uso de dispositivos extraíbles en todo momento, mientras que a alguien que necesite compartir archivos grandes con regularidad se le puede permitir el uso de dispositivos seguros emitidos por la empresa.
