10 formas de proteger los datos empresariales confidenciales

En un negocio moderno, la comunicación y la colaboración son cada vez más fáciles que nunca. Podemos trabajar de forma remota, acceder a documentos en nuestros teléfonos inteligentes y comunicarnos con nuestros colegas mientras viajamos.

Mientras que el aumento de este tipo de cultura de trabajo es positivo. El auge de las redes sociales, la mensajería instantánea y el correo electrónico, junto con la afluencia de dispositivos portátiles y medios extraíbles en el espacio de oficina, significa que es más fácil que nunca que los datos se filtren de su negocio.

Sus datos, ya sean financieros, de clientes, de empleados o de propiedad intelectual, son un activo valioso. Así que es justo que la protege.

Pero con datos confidenciales que viven en muchos dispositivos (servidores, bases de datos, computadoras de escritorio, portátiles, unidades USB, móviles) y se mueven a través de muchos canales, es difícil saber por dónde empezar. En este artículo describiremos algunas de las soluciones disponibles para ayudar con el problema de la pérdida de datos. Y vea cómo puede comenzar su proyecto de prevención de fugas de datos.

¿Qué es la prevención de fugas de datos (DLP)?

DLP es una estrategia para asegurarse de que la información confidencial no salga de la red corporativa. Describe cualquier solución o proceso que identifique y rastree el recorrido de los datos confidenciales. O que aplique políticas para evitar la divulgación no autorizada o accidental.

Muchas empresas deciden emprender un proyecto de DLP para proteger su IP o los datos de sus clientes. Pero la complejidad de la tarea y los recursos necesarios para completarla y mantenerla a menudo hacen que el proyecto nunca llegue a completarse.

Pero con el número de dispositivos conectados a Internet que se dispara y el trabajo remoto o flexible es tan grande desde la pandemia de Covid-19, administrar y proteger su información confidencial es vital. Y solo podrá hacerlo con una estrategia de DLP implementada.

¿Cómo puede ocurrir una fuga de datos?

Hay tres categorías de fuga de datos:

• En tránsito-Los datos son interceptados durante el viaje, p. ej. por correo electrónico, chat, tráfico web, etc.
• En reposo: Los datos se capturan de áreas como archivos compartidos, bases de datos, computadoras de escritorio o portátiles
• En uso: Los datos se capturan de capturas de pantalla, portapapeles, impresoras, unidades USB y otro almacenamiento extraíble.

Como empresa, debe desglosar cada categoría. Cree una lista de todos los lugares donde almacene datos y asígnelos a una de las tres categorías. Luego clasifique los datos en cada ubicación (por ejemplo, nivel de sensibilidad y riesgo) y anote esto también. Solo cuando comprenda qué datos tiene y qué riesgos enfrenta, podrá empezar a pensar en los controles.

¿Cómo puedo mantener seguros mis datos confidenciales?

1. Cifrado portátil

Debería cifrar cualquier dato confidencial que salga de su red. Para hacer esto, necesita sistemas de software en su lugar, ya que no puede confiar solo en los empleados. Solo se necesita una memoria USB, una computadora portátil o un teléfono perdidos para asestar un duro golpe a un negocio.

2. Endpoint protection

Los endpoints de datos son las máquinas que utilizan sus empleados, por ejemplo, equipos de escritorio, portátiles o móviles. Es en estos dispositivos donde reside o pasa la propiedad intelectual y los datos confidenciales.

Las soluciones para endpoints permiten a los administradores controlar qué dispositivos están en uso. También les permiten ver cuándo se han utilizado, quién y la información a la que se accedió o descargó.

Las empresas también deben tener políticas de seguridad que rijan el uso de los dispositivos. Dado que los empleados almacenan información confidencial, como correos electrónicos o documentos, en sus teléfonos inteligentes y tabletas. Su política de seguridad debe cubrir áreas como complejidad de contraseñas, descargas y bloqueos de pantalla.

3. Control de contenido de correo electrónico

Dado que los usuarios a menudo envían información y documentos confidenciales por correo electrónico, tiene un alto potencial de fuga de datos. El uso del filtrado de contenido permite que la tecnología de inspección de contenido profundo analice posibles amenazas. El texto del correo electrónico, las imágenes y los archivos adjuntos se pueden escanear de esta manera para detectar posibles fugas.

El filtrado de contenido también puede alertar a los administradores de amenazas internas. Informarles si los usuarios intentan enviar material restringido fuera de la empresa.

4. Los firewalls inteligentes

Junto con el correo electrónico, la mensajería instantánea y el uso de Internet también presentan un riesgo para sus datos. Los cortafuegos pueden proteger equipos individuales y redes enteras de amenazas de seguridad. Pero también pueden tomar medidas automáticas contra posibles fugas de datos, accesos no autorizados o comportamientos maliciosos. Esto se logra notificando al administrador o bloqueando la acción.

5. Control de dispositivos

Ahora se espera que los empleados tengan un teléfono inteligente en el trabajo. Para DLP, esto significa que es mucho más fácil para los empleados llevarse datos confidenciales.

Para limitar esto, debe tener directivas de seguridad que rijan el uso de los dispositivos. Su póliza debe cubrir aspectos como la complejidad de la contraseña, las directrices de descarga y aplicación y los tiempos de espera de pantalla. Sin una política como esta, los datos confidenciales estarán en riesgo una vez que entren en el dispositivo de un empleado.

6. Evaluar permisos de seguridad

Muchas empresas ofrecen a los empleados mucho más acceso del que necesitan. Adoptar un enfoque de confianza cero para los permisos de acceso ayuda a resolver este problema. Zero trust significa que las personas solo tienen acceso a lo que necesitarán en el día a día.

Este enfoque le permite limitar la escala de fugas y evita que los empleados accedan a datos confidenciales. Debe revisar sus permisos de seguridad actuales y ver quién tiene acceso a qué. A continuación, cree directivas de acceso que limiten los privilegios de red de los empleados a solo lo que necesitan para su trabajo.

Su sistema también debe emitir alertas si los empleados actúan fuera de lo común. Por ejemplo, si empiezan a acceder a un gran número de documentos. O si un usuario intenta acceder a documentos restringidos. Estos son a menudo signos de un script en ejecución o de una cuenta comprometida.

7. Impresión de control

Las impresoras multifunción (MFP) normalmente no están supervisadas y, por lo tanto, tienen un alto potencial de fuga de datos. Exigir a los usuarios que inicien sesión antes de usarlo puede reducir esto, ya que solo tendrán acceso a ciertas funciones. Esto también evita dejar documentos en la impresora, ya que el documento solo se imprime una vez que el usuario inicia sesión.

8. Copias de seguridad seguras

La copia de seguridad de información importante es una parte fundamental del negocio. Pero las copias de seguridad también pueden ser vulnerables y, a menudo, son un tesoro de datos confidenciales.

Al igual que con los archivos originales, debe cifrar sus copias de seguridad. También es importante asegurarse de que los servidores de copia de seguridad no sean visibles públicamente, por ejemplo, a través de Internet. Esto hace que sea más difícil para los atacantes intentar obtener acceso ilícito.

9. Análisis de texto de imagen

No es solo documentos y texto lo que necesita proteger, las imágenes también pueden ser datos confidenciales. La prevalencia de dispositivos habilitados para cámaras, como teléfonos inteligentes, en el lugar de trabajo ha facilitado la copia de imágenes. Las soluciones DLP tienen la capacidad de analizar texto dentro de imágenes, evitando la exposición de datos.

10. Educar a los usuarios

Las empresas a menudo asumen que sus empleados saben qué información es confidencial y qué no se puede compartir. Pero las fugas de datos no siempre son maliciosas y es posible que un empleado ni siquiera se dé cuenta de que su comportamiento está poniendo en riesgo a la empresa.

Es útil educar a sus usuarios sobre los peligros de la fuga de datos. Debe incluirlo como parte de su proceso de incorporación como mínimo. Y debe llevar a cabo sesiones de forma regular para garantizar que todos estén al tanto de los peligros y actualizados sobre la política de la empresa.

Una buena política de seguridad estará bien definida y será fácil de entender. Sin esto, las personas no lo adoptarán, ya que la responsabilidad y los roles de los empleados no estarán claros.

El RGPD y la protección de datos

Otra consideración es el Reglamento General de Protección de Datos (RGPD) de la UE. Aunque el Reino Unido ha votado a favor de abandonar la UE, es posible que la nueva regulación se aplique a su empresa. Por lo tanto, debe revisar sus políticas de protección de datos y su tecnología para asegurarse de que cumple con los requisitos.

El RGPD se centra más en lo que se trata de los datos, no en dónde se encuentran. Por lo tanto, incluso si opera fuera de la UE, las nuevas regulaciones podrían aplicarse. El RGPD establece que si su empresa ofrece servicios al mercado de la UE o tiene datos sobre ciudadanos de la UE. Tendrá que ser obediente.

Cuando se trata de datos, su empresa debe ser proactiva en cuanto a su protección. Mantenga sus soluciones de seguridad actualizadas y no tenga miedo de ponerse en contacto con un consultor para obtener asesoramiento.