Por Ricardo Martínez, gerente de Negocios y Alianzas para LATAM de SearchInform
OpiniónSeguridad IT

¿Cómo dar cumplimiento a las regulaciones de protección de datos y GDPR?

297 3 minutos de lectura

Por Ricardo Martínez, gerente de Negocios y Alianzas para LATAM y jefe de la representación de SearchInform en América Latina

En el mundo de negocios, el ‘’compliance’’ no es una elección, sino en muchos casos una obligación. No obstante, el cumplimiento corporativo puede ser desafiante, porque las empresas tienen que lidiar con grandes cantidades de datos, teniendo en cuenta cómo han crecido los volúmenes de documentos en cualquier empresa promedio. Averiguar qué son solo «basura de archivos» y qué no, se vuelve cada vez más difícil.

En cuanto a los datos personales, el GDPR establece que cualquier operador debe realizar una auditoría completa del manejo de datos personales. Sin embargo, en realidad, es muy difícil proteger la infraestructura de TI en la era de redes distribuidas y servicios en la nube, cuando la noción misma de perímetro seguro se desvanece.

CAT

En la infraestructura de TI distribuida de una gran empresa, la protección de datos es un gran desafío, ya que el número de servidores y los sistemas de almacenamiento de archivos suelen ser múltiples, y los recursos totales en las computadoras de trabajo pueden alcanzar los cientos y miles de dispositivos. Realizar una auditoría desde el Departamento de TI es difícil y complejo, configurar los derechos de acceso, monitorear su relevancia y controlar la seguridad de los derechos en modo manual es prácticamente imposible. Si tenemos en cuenta al factor humano y a los errores técnicos, no tener herramientas de control especiales, el acceso excesivo a los archivos y el caos aumentará.

Como resultado, los datos personales, los datos financieros, los documentos con secretos comerciales o las historias clínicas, pueden encontrarse en cualquier lugar, y el servicio de seguridad de información difícilmente podrá protegerlos.

Esto genera riesgos tanto para el negocio como para la seguridad de la información:

-los empleados no autorizados obtienen el acceso a los datos sensibles;

-la información es más difícil de proteger contra la fuga, ya que no está claro dónde se almaсena;

-los usuarios privilegiados crecen y sus acciones se hacen más difíciles de controlar;

-los empleados trabajan con versiones obsoletas de los documentos.

Como respuesta a esta amenaza, surgieron soluciones de clase DCAP

Los sistemas de esta clase están diseñados para monitorear, categorizar, proteger datos no estructurados en reposo, ya que la información puede almacenarse en las PCs de los empleados, compartirse en carpetas de red, almacenarse en la nube, bases de datos, etc.

De acuerdo con la terminología de Gartner, los sistemas DCAP deben realizar las siguientes funciones:

  1. Detectar y clasificar datos;
  2. Supervisar los derechos de acceso;
  3. Realizar un seguimiento de las operaciones de datos;
  4. Proporcionar informes detallados y notificaciones automatizadas en caso de incumplimiento de las políticas de seguridad;
  5. Prohibir operaciones no autorizadas.

La solución FileAuditor  proporciona la integridad de estos procesos ya que facilita la auditoría en detalle de los sistemas de archivos.

Caso 1: Empresa de turismo y hotelería

Los escaneos de pasaportes fueron encontrados en la carpeta compartida. Asimismo, se descubrió que otros datos personales se almacenaban en las PC de los trabajadores, que conlleva un riesgo alto de enfrentar sanciones de GDPR o ver el nombre de la compañía de manera negativa en los medios de comunicación. 

De acuerdo con los resultados de la auditoría, se clasificó la información vulnerable y se protegieron documentos importantes.

FileAuditor supervisa continuamente los archivos y carpetas para detectar rápidamente los cambios en ellos.

El programa escanea los archivos y carpetas a los que accedieron los usuarios: abrieron, editaron, eliminaron, crearon nuevos, renombraron o movieron.  Los cambios en el PC de los empleados se monitorean en tiempo real, es decir, el especialista en seguridad siempre está al corriente de lo que está sucediendo con la información sensible.

Caso 2: Empresa de Telecomunicaciones

Problema: Para llevar a cabo los estudios de mercado muy costosos (cada uno rondaba los $100,000). Por lo tanto, no quiere que los datos de esta investigación se hagan públicos.

Solución: En SearchInform FileAuditor se ha creado una regla que permite supervisar el movimiento de estos importantes documentos y controlar si se almacena en estaciones de trabajo de empleados que no tienen relación con la investigación y/o su uso/aplicación.

Los parámetros establecidos fueron:

-los tipos de archivos para escanear (doc, pdf, odt, xls, ods, etc),

-el círculo de personas con derechos de acceso a estos archivos

-las palabras clave a buscar en los archivos

-su fecha de creación, etc.

Y a partir de estos datos, se creó una regla de clasificación automática.

Una vez activada la regla, el FileAuditor realizó el escaneado de los datos en reposo tanto en el servidor como en los equipos de los usuarios, identificó los permisos de acceso al archivo y clasificó a los que correspondían a la regla creada. Con la ayuda del Bloqueo por Etiquetas de Clasificación automática, la empresa estableció una regla de bloqueo, dando como resultado que el documento ya no pueda ser transmitido o manipulado por personas no autorizadas.

Conclusión

La práctica muestra que aquellos que se han preocupado por la seguridad terminan ganando, no solo cumplen con el GDPR y otras regulaciones de protección de datos, sino que también evitan los riesgos asociados con el factor humano. La solución DCAP será una buena herramienta para garantizar la seguridad interna y cumplir con las regulaciones.

¡MANTENGÁMONOS EN CONTACTO!

Nos encantaría que estuvieras al día de nuestras últimas noticias y ofertas 😎

Autorizo al Prensario y a los anunciantes a almacenar los datos solicitados y acepto que puedan enviarme comunicaciones de sus productos y servicios. *

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Etiquetas
297 3 minutos de lectura
Mostrar más

Publicaciones relacionadas

Lumu Technologies: nuevo director de ventas en México

04/19/2024

Machine learning e IA: protegiendo identidades corporativas

04/18/2024

Ataques de ransomware: una amenaza latente

04/18/2024

Chatbots en ciberseguridad: 5 consejos clave

04/18/2024
Botón volver arriba