¿Por qué el Control de Dispositivos no es suficiente en 2021?
Los dispositivos extraíbles han sido durante mucho tiempo una amenaza para la seguridad de los datos. Desde empleados que copian datos confidenciales en dispositivos no seguros hasta personas externas malintencionadas que atacan una red corporativa a través de USB infectados, los riesgos que plantean son claros y muchas empresas han tomado medidas para abordarlos. Una de las principales formas en la que lo han hecho ha sido a través de herramientas de control de dispositivos que permiten a las empresas controlar el uso de periféricos y puertos USB. Pero a medida que más y más organizaciones confían en el intercambio de archivos y los servicios de almacenamiento en la nube para transferir y compartir información, ¿es el Control de Dispositivos por sí solo suficiente en 2021 para proteger los datos confidenciales?
La llegada del Reglamento General de Protección de Datos (GDPR) de la UE inició un movimiento global hacia medidas más estrictas para garantizar la seguridad de la información personal de las personas. Esta nueva ola de legislación, que se extiende desde los EE. UU. y Brasil hasta Singapur y Japón, hace que las empresas sean responsables ante la ley de la protección de los datos confidenciales que recopilan y procesan. Tomando una página del libro de GDPR, muchas de estas nuevas leyes imponen fuertes multas por incumplimiento.
Pero las multas regulatorias no son lo único de lo que las empresas deben preocuparse cuando se trata de violaciones de datos. Según IBM y el Informe del Costo de una Violación de Datos 2020 de Ponemon Institute, el mayor factor que contribuye al costo general de una violación de datos, que representa un asombroso 39,4% del costo total promedio, es la pérdida de negocios. Las empresas pueden perder clientes nuevos y existentes a medida que su imagen se vea afectada. Las investigaciones de violación de datos también pueden interrumpir las operaciones comerciales y los sistemas de la empresa y provocar pérdidas financieras.
Por todas estas razones, las empresas deben asegurarse de evitar filtraciones de datos. El software antivirus y los firewalls son esenciales para hacer frente a las amenazas externas y, para muchas organizaciones, las herramientas de Control de Dispositivos se utilizan para abordar las fugas de datos internos y los posibles ataques a través de dispositivos extraíbles.
Cómo protege Control de Dispositivos los datos confidenciales
Las herramientas de Control de Dispositivos, que generalmente forman parte de las soluciones de Prevención de Pérdida de Datos (DLP), permiten a las empresas bloquear o limitar el uso de puertos USB y periféricos, pero también de dispositivos conectados a través de Bluetooth. Esto evita que los empleados copien datos potencialmente confidenciales en dispositivos no seguros. Las unidades flash en particular han sido durante mucho tiempo un problema de seguridad de los datos, ya que son fácil de robar o extraviar. Si bien algunas empresas han optado por cifrar los USBs para garantizar que terceros no autorizados no puedan acceder a los USBs de la empresa que hayan sido robados o perdidos, otras han optado por eliminar su uso por completo.
Control de Dispositivos es particularmente eficaz contra los peligros de la exfiltración de datos por parte de personas internas malintencionadas y evita que personas externas intenten atacar una red a través de un dispositivo extraíble infectado o iniciar una computadora de la empresa usando un USB para evitar las credenciales de inicio de sesión. Las organizaciones que deseen continuar usando dispositivos extraíbles también tienen la opción de habilitar un sistema de dispositivos confiables emitidos por la empresa.
¿Por qué el Control de Dispositivos no es suficiente?
Sin embargo, si bien el Control de Dispositivos es una forma eficaz de controlar los dispositivos conectados a las computadoras de la empresa, ¿qué sucede cuando un empleado necesita llevarse archivos que son demasiado grandes para enviarlos por correo electrónico? Con las unidades flash USB deshabilitadas, recurrirán a Internet en busca de una solución: servicios de intercambio de archivos y almacenamiento en la nube.
Hoy en día, con servicios populares como Dropbox, Evernote y Google Drive disponibles para todos sin costo, pocos empleados siquiera considerarán un dispositivo extraíble, pero elegirán inmediatamente la solución conveniente de servicios de almacenamiento en la nube que hará que los archivos estén disponibles para ellos en todo momento, de donde sea. Y si bien esto es muy útil para los empleados, ¿cómo pueden las empresas estar seguras de que los archivos que cargan en estos servicios no contienen datos confidenciales? Peor aún, ¿qué pasa si ni siquiera saben qué servicios están usando sus empleados para transferir archivos?
Algunas empresas abordan este riesgo bloqueando el uso de ciertas aplicaciones conocidas, pero eso solo podría alentar a los empleados a buscar alternativas menos conocidas que podrían representar una amenaza aún mayor para la seguridad de los datos.
Protección de datos sensibles más allá del Control de Dispositivos
Para garantizar el cumplimiento de las leyes de protección de datos y evitar fugas y violaciones de datos, las empresas deben mirar más allá del Control de Dispositivos y abordar los riesgos que plantean las transferencias de datos confidenciales a través de Internet. Una forma de hacerlo es elegir una solución de DLP como Endpoint Protector que también incluye funciones de Content Aware Protection que ayudan a monitorear y controlar los movimientos de datos confidenciales dentro y fuera de la red de la empresa.
A través de las herramientas de Content Aware Protection, las empresas pueden definir qué significan para ellas los datos confidenciales. Pueden usar perfiles predefinidos para leyes y estándares de protección de datos como GDPR, HIPAA o PCI DSS, pero también agregar sus propias definiciones basadas en su industria y necesidades.
Mediante el escaneo contextual y la inspección de contenido, las herramientas de Content Aware Protection pueden identificar datos confidenciales en más de cien tipos de archivos y monitorear cómo se transfieren y utilizan dentro de la red corporativa. Pueden bloquear la transferencia de datos confidenciales a través de canales no autorizados, incluso cuando los empleados intentan copiar y pegar o utilizar una captura de pantalla para guardar o enviar datos confidenciales en el cuerpo de un correo electrónico.
Hacia un enfoque equilibrado de la protección de datos
Las empresas ya no pueden permitirse el lujo de ignorar la popularidad de los servicios de almacenamiento en la nube de Internet en el lugar de trabajo y deben implementar medidas de seguridad contra posibles fugas de datos o violaciones de datos que resulten de su uso.
Mientras que las funciones de Control de Dispositivos regulan la conectividad de las computadoras de trabajo con otros dispositivos, las herramientas de Content Aware Protection protegen los datos confidenciales directamente, independientemente del tipo de archivos en los que se encuentren. Juntas, estas dos funciones de DLP ofrecen un enfoque más completo para la protección de datos, respaldando los esfuerzos de cumplimiento de la legislación a lo largo del camino.