Cinco pasos para asegurar los datos empresariales
Con motivo del Día de la Protección de Datos, la empresa Iron Mountain compartió cinco pasos para asegurar los datos corporativos de manera efectiva.
Las investigaciones han revelado que la pérdida de datos es una de las principales preocupaciones de los ejecutivos de TI, según la firma de gestión de datos Iron Mountain, que ha compilado cinco pasos para asegurar los datos para conmemorar el Día de la Protección de Datos.
La iniciativa internacional, ahora en su noveno año, tiene como objetivo sensibilizar a los consumidores y las empresas de la importancia de salvaguardar los datos, respetando la privacidad y creando confianza.
El 28 de enero fue elegido porque ese día, en 1981, el Consejo de Europa aprobó el Convenio 108 sobre la protección de los datos personales de los individuos, la raíz de toda la legislación sobre privacidad y protección de datos.
La gerente senior de marketing de producto y soluciones de Iron Mountain, Jennifer Burl, dijo que las empresas de todos los tamaños pueden beneficiarse con los consejos sobre cómo mejorar la seguridad de sus datos.
"De acuerdo con la Alianza Nacional para la Ciberseguridad, el 50% de los ataques cibernéticos dirigidos están apuntados a empresas con menos de 2,500 empleados", agregó.
Burl dijo que hay cinco pasos que las empresas pueden tomar para mantener los datos seguros y protegidos para evitar problemas legales y reglamentarios.
Paso 1: Conozca dónde residen su datos
"No puede completar su plan de seguridad hasta que usted sepa exactamente lo que está protegiendo y dónde se almacena", dijo Burl.
La mayoría de las empresas almacenan datos en múltiples tipos de medios: discos locales, sistemas de respaldo basados en disco, en cintas fuera de las instalaciones y en la nube. Cada tecnología y formato requiere su propio tipo de protección.
Paso 2: Ponga en práctica una política de “conocimiento según necesidad”
Para minimizar el riesgo del error humano (o curiosidad), cree políticas que limiten el acceso a los conjuntos de datos particulares.
Designe el acceso basado en descripciones herméticas de puestos. También asegúrese de automatizar las entradas de acceso al registro para que nadie que ha tenido acceso a un conjunto de datos en particular pase inadvertido.
Paso 3: Refuerce la seguridad de su red
"Su red está casi seguramente protegida por un firewall y un software antivirus. Pero es necesario asegurarse de que esas herramientas están actualizadas y son lo suficientemente amplias como para hacer el trabajo", dijo Burl.
Diariamente se lanzan nuevas definiciones de malware, y el software antivirus tiene que seguirles el ritmo.
La filosofía de traiga su propio dispositivo está aquí para quedarse, y su equipo de TI debe extender su paraguas de seguridad sobre los teléfonos inteligentes y las tabletas que los empleados utilizan para fines de negocios.
Paso 4: Monitoree e informe sobre el ciclo de vida de sus datos
Cree un plan de gestión del ciclo de vida de los datos para garantizar la destrucción segura de los datos datos antiguos y obsoletos de la empresa.
Como parte de este proceso, las empresas deben:
- Identificar los datos que debe proteger, y por cuánto tiempo;
- Construir una estrategia de respaldo múltiple que incluya respaldos en cinta fuera de línea y fuera de las instalaciones;
- Predecir las consecuencias de un ataque exitoso, luego resguardar las vulnerabilidades reveladas en este ejercicio;
- Tomar los archivos de papel en cuenta, ya que también pueden ser robados;
- Inventariar todo el hardware que podría albergar datos antiguos y disponer de forma segura de copiadoras, sistemas de correo de voz obsoletas e incluso viejas máquinas de fax.
Paso 5: Educar a todo el mundo
"La seguridad de los datos se trata, en última instancia, de la gente", dijo Burl. “Cada empleado debe entender los riesgos y consecuencias de las violaciones de datos y saber cómo prevenirlas, especialmente con el aumento de los ataques de ingeniería social”.
"Hable con sus empleados acerca de las vulnerabilidades, como enlaces web de malware hábilmente disfrazados en mensajes de correo electrónico no solicitados. Anímelos a hablar si sus computadoras empiezan a funcionar de forma extraña".
Construya una cultura de seguridad en la cual todo el mundo entienda el valor crítico de sus datos de negocio y la necesidad de su protección. "Porque cuando se piensa en ello, todos los días son días de protección de datos", dijo Burl.
Educar a los usuarios para proteger la economía
La firma de gestión de contenido Intralinks dijo que muchas personas traen malos hábitos de seguridad de su casa al negocio, por lo que la educación de los usuarios no se trata solo de protegerlos, sino también sobre la protección de la economía.
El director de tecnología para Europa de Intralinks, Richard Anstey, dijo que puede ser contraproducente decirle a la gente que utilice contraseñas seguras, ya que crea una falsa sensación de seguridad que la gente luego lleva al trabajo.
"Cuando se trata de información muy sensible, como el protocolo de Internet, la gente necesita saber acerca de medidas muy seguras, como la gestión de los derechos de información", dijo.
Según Anstey, la seguridad se trata de saber cuál es el peligro y cómo implementar el nivel adecuado de protección.
"Si queremos una sociedad con datos verdaderamente seguros tenemos que empezar por asegurar que las personas saben qué valor tienen sus datos, entonces pueden tomar una decisión informada sobre cómo asegurarlos", dijo.
Demasiado énfasis en las amenazas externas
La firma de cifrado Egress ha advertido que muchos negocios se están centrando en las amenazas externas.
Una solicitud de libertad de la Información (FOI) de Egress a la Oficina del Comisionado de Información del Reino Unido reveló que el 93% de las brechas de datos se producen como consecuencia de un error humano.
El directores general de Egress, Tony Pepper, dijo que las empresas deberían empezar a mirar más cerca de casa para evitar las violaciones de datos.
"Los errores tales como la pérdida de un dispositivo sin cifrar en el correo o enviar un correo electrónico a la persona equivocada están hiriendo a las organizaciones", dijo.
Pepper añadió que los datos del FOI muestran que se ha gastado un total de 7.7 millones de dólares por errores cometidos al manejar información sensible, mientras que hasta la fecha no se han aplicado multas debido a fallos técnicos que exponen datos confidenciales.
"El error humano nunca será erradicado, ya que la gente siempre comete errores. Por lo tanto, las organizaciones necesitan encontrar formas de limitar el daño causado por estos errores", dijo.
Según Egress, la política debe ser soportada por tecnología de fácil uso que permita formas seguras de trabajar sin afectar la productividad, al tiempo que proporciona una red de seguridad para cuando los usuarios cometen errores.
Las empresas necesitan un enfoque proactivo para la seguridad de los datos
La firma de gobernabilidad de datos Axway dijo que los negocios necesitan tomar un enfoque proactivo hacia la seguridad de los datos frente a los hackers maliciosos y las brechas de datos.
El vicepresidente del Programa de Salida al Mercado de Axway, Antoine Rizk, dijo que en un mundo cada vez más conectado, las empresas necesitan monitorear proactivamente sus flujos de datos para prevenir las brechas de datos costosos.
"Sin embargo, muchas organizaciones grandes siguen esperando a que algo salga mal antes de abordar las fallas en sus estrategias de seguridad –un movimiento que fracasó en algunas de las brechas de seguridad más famosas de 2014", dijo.
Axway predice que en 2015, traer tu propio dispositivo va a evolucionar rápidamente en traer tu propio Internet de las cosas, con los empleados trayendo dispositivos vestibles al lugar de trabajo.
“Para que esa mayor movilidad empresarial abra las ventanas de oportunidades para las empresas, sin allanar el camino para que los hackers accedan a los datos privados, la seguridad debe evolucionar a la misma velocidad que los propios dispositivos", dijo Rizk.
"Las organizaciones también necesitan saber qué datos están trayendo a la oficina los empleados y qué datos están sacando de ella para asegurarse de que los ataques maliciosos y la actividad conspicua están bloqueados", dijo.
Es importante destacar los riesgos en las plataformas móviles
La empresa de protección de aplicaciones Arxan dijo que, en el Día de la Protección de Datos, es importante destacar el aumento de los riesgos en las plataformas móviles, especialmente en el sector bancario y de pagos.
El director de ventas para Europa de Arxan, Marcos Noctor, dijo que la firma predice que los riesgos de seguridad en el sector financiero serán un área clave de amenazas para el 2015.
"Con esto en mente, es vital que la seguridad de las aplicaciones móviles tome prioridad conforme los bancos, proveedores de pago y los clientes busquen hacer más en los dispositivos móviles", dijo.
Una investigación de Arxan reveló que 95% de las 100 mejores aplicaciones financieras de Android y 70% de las aplicaciones de iOS han sido hackeadas el año pasado.
La compañía dijo: "Nos gustaría recomendar a los clientes bancarios y de pago que están considerando el uso de una aplicación financiera móvil que tomen las siguientes medidas para aumentar la seguridad:
-
Descargue aplicaciones bancarias y de pago solo de las tiendas de aplicaciones certificadas;
-
Pregunte a su institución financiera o proveedor de pago si su aplicación está protegida contra la ingeniería inversa;
-
No se conecte a un correo electrónico, banco u otra cuenta sensible a través de WiFi público. Si eso es inevitable –porque usted pasa mucho tiempo en cafés, hoteles o aeropuertos, por ejemplo– pague por el acceso a una red privada virtual, que mejorará considerablemente su privacidad en las redes públicas;
-
Pregunte en su banco o proveedor de pago móvil si han desplegado protecciones automáticas para las aplicaciones que han lanzado en las tiendas de aplicaciones. No confíe solo en antivirus móviles, antispam o sus soluciones de seguridad de dispositivos para toda la empresa para proteger aplicaciones que residen en su dispositivo móvil contra los hackeos o ataques de malware”.