En los últimos años, las compañías han redoblado sus esfuerzos en proteger sus datos. La inversión tecnológica, con el objetivo de conservar la información, se ha convertido en uno de los principales objetivos de seguridad para las empresas. Pese a todos estos reparos, la prevención para evitar la pérdida de datos (DLP por sus siglas en inglés) es una práctica que se ha ido relegando, pese a la importancia de contar con una adecuada protección de esta información.
Esta es una grave problemática que no es muy tenida en cuenta, ya que al ser una práctica que involucra diversas áreas es muy complejo contar con una visión clara de lo que se tiene que proteger, debido al gran volumen de archivos que se generan, día tras día.
Ante esta situación Symantec ha identificado los principales retos para lograr la mejor protección de datos posible. Los motivos pueden cambiar entre empresas, pues cada una tiene sus propios objetivos. Por lo tanto, una de las principales preguntas que se tienen que responder las compañías, a la hora de definir los alcances respecto a la protección de datos, es ¿qué es lo que se necesita proteger y por qué?
Además, es importante reconocer el foco principal del negocio para proteger mejor los datos deseados, dado que permitirá a la empresa alinear los recursos necesarios para llevar a cabo, de manera exitosa, estas acciones. Por estas razones un proyecto de protección de datos debe de estar en la agenda de todos los empleados de la compañía.
Al no haber un set de datos comunes, cada escenario será diferente, pero la primera regla es ‘no se puede proteger todo’. Por ejemplo, una institución financiera tendrá que priorizar proteger los datos de las tarjetas de crédito de sus clientes, por sobre otras áreas, que, si bien son importantes, no son tan sensibles. Al ser un potencial objetivo de hackeos, deben de reducir el riesgo de fraude y debe mantener una buena reputación ante sus clientes, ya que algún evento de robo de información puede dañar, gravemente, su reputación y participación en el mercado.
¿Dónde se encuentran los datos que las empresas desean proteger?
Los datos pueden estar en servidores de archivos, aplicaciones, bases de datos, computadoras, laptops, dispositivos móviles, USBs o en la web. Este ciclo ha cambiado dramáticamente debido al crecimiento de los dispositivos móviles y la oferta de servicios en la nube. Se estima que el 36% de los datos críticos de una empresa se encuentran en la nube y que al menos un tercio de los mismos están fuera del control de los departamentos de tecnología, por lo que implementar una estrategia de protección de datos debe de considerar estas variables.
Desde hace un par de años debido a la tendencia de ubiquidad de los datos se recomienda en estos proyectos contar con un Cloud Access Security Broker (CASB por sus siglas en inglés) que esté integrado con la solución de DLP, debido a que permitirá extender la estrategia de protección de datos a la nube.
La manera en que los datos son consultados nos permite saber el riesgo asociado ya que no es lo mismo consultar los datos en un equipo que cumple con las políticas de seguridad y dentro de una red segura; que consultar los datos desde un dispositivo móvil. Otro reto del área de tecnología es que el 50% de los empleados usan sus dispositivos personales para acceder a la información, por lo cual existe un riesgo asociado al dispositivo que también se debe contemplar. También se deben mitigar los riesgos de conectarse a redes inseguras.
Incluso, algunas empresas toman acciones de prevención adicionales, como estrategias de cifrado para cuando hay datos sensibles que, por cierto, motivo o proceso, tienen que salir de la organización, esto ayuda a resolver la necesidad del negocio, pero a su vez continuar en un marco de cumplimiento y dentro de las políticas establecidas. Además, es importante mencionar que una estrategia de protección de datos es una estrategia a largo plazo que involucra varias áreas de negocio y asesoría constante.