Consejos de Prevención de Pérdida de Datos para Instituciones Financieras
La importancia y la sensibilidad de la información que colectan las instituciones financieras, aunque sean bancos, aseguradoras u organizaciones que ofrecen otro tipo de servicios financieros, han sido reconocidas incluso antes de los registros digitales. Un impulso a la rendición de cuentas y a la transparencia han dado lugar a la aparición de leyes como la Ley Sarbanes-Oxley y la Ley Gramm-Leach-Bliley en los Estados Unidos que regulan cómo se almacena y procesa la información financiera. Al otro lado del estanque en Europa, la Regulación General de Protección de Datos europea tiene una aplicación amplia, que incluye la información financiera.
Cuando se trata de protección de datos, el sector financiero es uno de los más regulados. Esto no se debe solamente a la cantidad de datos que estos procesan o a las amenazas exteriores, pero también a su predisposición a los escándalos internos como los que involucran empresas como Enron y Worldcom de 2000. El resultado es un conjunto, a veces rígido, de requerimientos a las que tienes que adherir las empresas o arriesgarse penalidades tanto monetarias, como penales.
¿Cómo pueden entonces las instituciones financieras proteger sus datos de la mejor manera? Ellas tienen que cumplir obviamente con legislaciones locales de protección de datos, pero también con estándares internacionales, como PCI-DSS. La solución es, usualmente, adoptar internamente políticas de seguridad estrictas, implementar marcos complejos para proteger sus redes de empresa. Y mientras que estas son medidas adecuadas para protegerse contra amenazas externas, descuidan a menudo un riesgo más grande para la protección de datos: la perdida de datos que frecuentemente se debe a actores internos y no a actores externos.
Cuando imaginamos amenazas de datos, estamos tentados a recordar sobre titulares de ciberataques y los forasteros maliciosos detrás de ellos, pero la realidad es mucho más mundana: en 2018, IAPP reveló que no menos de 80% de todas las violaciones de datos fueron involuntarias y el resultado del descuido de los empleados. La infame violación de datos de Equifax que expuso los registros de casi 146 millones de estadounidenses se debió, al parecer, a que los empleados no respondieron a las advertencias de seguridad.
¿Qué pueden hacer las empresas para enfrentar esta amenaza a los datos sensibles y su cumplimiento de las normas de protección de datos? ¡Aquí tiene algunos consejos!
Eduque a sus empleados
Varias veces, el descuido de los empleados es el resultado de la mala comprensión de la importancia de la protección de datos. Los empleados favorecen su propia conveniencia para la ejecución de las tareas laborales y son ignorantes de las consecuencias de la exposición de los datos sin cuidado. Los programas de concienciación sobre seguridad los pueden ayudar a comprender la importancia de la protección de datos en el lugar de trabajo y los potenciales resultados negativos que pueden resultar por el mal manejo de los datos.
Para que estos tipos de formaciones sean eficientes, los programas tienen que ser adaptados a las necesidades de la empresa y al público al que estas se dedican. No es suficiente que estos sean solo informacionales, también tienen que tener inclusos aportes claves que los empleados puedan poner en práctica fácilmente.
Herramientas de la Prevención de Pérdida de Datos
Otra forma de evitar los peligros del descuido de los empleados es implementar soluciones de Prevención de Pérdida de Datos (DLP) como Endpoint Protector, que permite a los administradores a definir, monitorizar y controlar los datos sensibles. Utilizando potentes capacidades de escaneo contextual y de contenido para un alto nivel de precisión en la detección, ellos se pueden asegurar de que los datos confidenciales no se pueden transferir fuera de la red de la empresa a través de Internet y por medio de los dispositivos no autorizados de los empleados.
Las herramientas de DLP pueden también escanear los equipos de la empresa para la búsqueda de datos confidenciales y pueden tomar acciones de reparación como borrarla o cifrarla cuando se encuentra en los ordenadores de los usuarios no autorizados.
Mayor transparencia
Sabiendo donde se encuentran tus datos y quien tiene acceso a ellos es una de las fundaciones de cualquier estrategia de protección de datos exitosa y una parte importante de cualquier esfuerzo de cumplimiento. Teniendo informes del movimiento de los datos confidenciales puede también ofrecer una ventaja significante en el caso de una auditoria o cuando una empresa tiene que ofrecer pruebas de sus esfuerzos de protección de datos a los órganos reguladores.
La DLP y los instrumentos de clasificación de datos pueden se utilizados para determinar e identificar datos confidenciales en la red de la empresa. Los movimientos pueden ser entonces monitorizados y reportados, ayudando a las empresas a tener un mejor entendimiento sobre como los datos confidenciales fluyen dentro de sus sistemas y donde son más vulnerables.
La seguridad de datos en movimiento
Otro punto ciego en las estrategias de protección de datos puede ser los datos en movimiento. Hoy en día los empleados son cada vez más móviles: viajando por negocios o trabajando desde casa, ellos utilizan dispositivos portátiles y llevan datos confidenciales con ellos. Los incidentes son frecuentes: dispositivos USB de almacenamiento olvidados, dispositivos robados o perdidos pueden generar en un instante violaciones de datos.
Una solución fácil para los datos en movimiento es el cifrado. Por ejemplo, si todos los datos copiados a un dispositivo USB de almacenamiento están cifrados, no pueden ser accedidos por nadie sin una contraseña. Aunque el dispositivo está perdido o robado, la empresa puede estar segura de que los datos que este contiene son inútiles para cualquiera que lo encuentre o lo robe.
Soluciones multiplataformas
Windows, como el sistema operativo más utilizado en el lugar de trabajo, tiende a ser el corazón de la mayoría de las soluciones de seguridad. Sin embargo, con el crecimiento de Mac en las empresas y la preferencia ofrecida por Linux en ciertos sectores, vale la pena señalar que, puesto que es un fenómeno centralizado en el empleado, la pérdida de datos ocurre independientemente del sistema operativo.
Por consiguiente, las empresas tienen que buscar soluciones que son multiplataformas. Es importante también asegurar que ellas ofrecen características iguales para todos los sistemas operativos de manera que muchos productos afirman ser multiplataformas, pero, en realidad, son enfocados en un solo sistema operativo (OS), lo más frecuente Windows, al tiempo que ofrecen características más débiles y menos eficientes para otros sistemas operativos.