5 formas en que las grandes empresas protegen sus datos
La protección de datos se ha convertido en una parte esencial de todas las estrategias empresariales, independientemente del tamaño de la empresa. En muchos países, se ha convertido en una obligación legal. La legislación en materia de protección de datos, como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA), regulan la recopilación, el procesamiento y el almacenamiento de Información de Identificación Personal (PII), como nombres, direcciones y números de teléfono, y conceden varios derechos a los interesados.
El coste medio global de una violación de datos alcanzó los 4,24 millones de dólares en 2021, según el Informe sobre el coste de una violación de datos 2021 publicado por IBM y el Instituto Ponemon, lo que supone un aumento del 10% respecto al año anterior. El salto en el coste se asoció al aumento de las multas regulatorias, pero también al impacto del trabajo a distancia durante la pandemia.
Los piratas informáticos también han evolucionado en su forma de ejecutar los ciberataques. Hoy en día, es más fácil utilizar ataques de phishing e ingeniería social para infiltrarse en una red y propagar malware y ransomware. Robar la identidad o engañar a los empleados para que revelen sus credenciales, o hacer clic en un enlace o archivo adjunto infectado es todo lo que necesitan los ciberdelincuentes para acceder a un portátil de corporativo. Una vez dentro, pueden infectar fácilmente toda la red.
Las grandes empresas están, en muchos casos, muy por delante en el juego de la protección de datos, ya que han construido sus políticas de seguridad y las han probado durante los últimos años. Sin embargo, sus requisitos son también más complejos. Muchas de ellas necesitan proteger otras categorías de datos además de la información de los clientes, como la propiedad intelectual y los datos financieros. Veamos las formas más exitosas de proteger los datos en una organización y garantizar la seguridad de los datos corporativos.
1. Protección avanzada contra las amenazas externas
Para hacer frente a las amenazas externas a la seguridad, las grandes empresas despliegan y actualizan periódicamente medidas básicas como la autenticación de dos factores, los cortafuegos y las soluciones antimalware. También van más allá, implementando estrategias más avanzadas como las capacidades del Módulo de Plataforma Confiable (TPM) y adoptando la arquitectura de Confianza Cero.
La arquitectura de Confianza Cero propone una nueva forma de abordar la ciberseguridad: nunca confíes, siempre verifica. Garantiza que los usuarios, los dispositivos y el tráfico de red se verifiquen y se sometan a reglas de mínimo privilegio cuando accedan a recursos de confianza. De este modo, si un ordenador se infecta, se impide que los atacantes se desplacen lateralmente por la red.
2. Saber dónde están los datos y a dónde van
Uno de los pasos cruciales para una protección eficaz de los datos es saber exactamente qué datos se almacenan y dónde. Al identificar con precisión el ciclo de vida de sus datos y los riesgos de seguridad asociados a ellos, las empresas pueden tomar decisiones informadas sobre las medidas que necesitan para protegerlos.
Las grandes organizaciones utilizan herramientas de Prevención de Pérdida de Datos como Endpoint Protector para escanear las redes de la empresa en busca de datos sensibles. Cuando los encuentran en lugares no autorizados, tienen la opción de borrarlos o cifrarlos. En la era de las normativas de protección de datos, la transparencia es clave tanto para el cumplimiento como para la creación de políticas eficaces de protección de datos.
3. El uso del cifrado en todos los ámbitos
Desde los discos duros encriptados, los USB y los smartphones hasta los datos cifrados antes de su transferencia a la nube o a dispositivos portátiles, el cifrado se ha convertido en algo esencial para proteger los datos sensibles de la empresa y asegurar los datos de los clientes.
El cifrado aborda dos vulnerabilidades comunes de la protección de datos en la economía global actual: una plantilla en constante movimiento y el aumento del trabajo remoto. Dado que los dispositivos salen con frecuencia de la seguridad de las redes de la empresa, el cifrado garantiza que, en caso de robo o pérdida, los datos sensibles que contienen son inaccesibles para personas ajenas a la empresa.
4. Educar a los empleados a todos los niveles
El factor humano suele ser la mayor vulnerabilidad en la cadena de protección de datos. Las grandes empresas se aseguran de que los empleados estén informados de las normas de cumplimiento y de las mejores prácticas de seguridad, proporcionándoles tanto formación como directrices claras para los que entran en contacto con los tipos de datos más sensibles.
Los ejecutivos de nivel superior suelen ser el objetivo de personas ajenas a la empresa debido a su acceso de alto nivel a los datos. Las grandes empresas ponen especial cuidado en que los altos cargos no eludan las normas, ya que es esencial que se mantenga el mismo nivel de seguridad de los datos en todos los ámbitos, no sólo horizontalmente, sino también verticalmente.
Las soluciones de DLP pueden actuar como un método eficaz para hacer cumplir las normas, estableciendo políticas claras que protejan y restrinjan el acceso a los datos sensibles. Los niveles de acceso a los datos pueden controlarse en función de grupos, departamentos, usuarios específicos o puntos finales.
5. Creación de políticas BYOD
A medida que las empresas adoptan las políticas de uso de dispositivos propios (“Bring-your-own-device”, BYOD) que aumentan la productividad y reducen los costes, a menudo ignoran sus implicaciones de seguridad. Acceder a información sensible en dispositivos personales significa que los datos viajan fuera de los confines de la red de la empresa, lo que hace que cualquier medida de seguridad tomada para protegerlos sea inútil. Las grandes organizaciones restringen el tipo de datos que pueden transferirse fuera de los dispositivos de la empresa. Al mismo tiempo, se pueden aplicar políticas de control de dispositivos, que garantizan que sólo se confíe en los dispositivos que cumplan un determinado nivel de seguridad. De este modo, los empleados tienen la opción de ajustar la seguridad de sus dispositivos personales al nivel exigido en la empresa. Si deciden no aplicarlos, se garantiza que no se permite la transferencia de datos sensibles a los mismos.
A medida que avanzamos en la era de la protección de datos por diseño y por norma, las medianas y pequeñas empresas deben seguir los pasos de las grandes compañías y adoptar planes de seguridad para proteger los datos de las amenazas internas y externas.