OpiniónAnalytics

¿Es posible compartir datos sensibles de tu empresa?

Jocelyn Krystlik, Directora de Seguridad de Datos de la Unidad de Negocio, Stormshield.

Todas las empresas e instituciones se ven igualmente afectadas por los tres principales riesgos para los datos: confidencialidad, integridad y disponibilidad. Pero, ¿cómo puede protegerse una empresa y ayudar a sus empleados a comunicarse con seguridad?

La noción de protección de datos está estrechamente vinculada a la confidencialidad, la integridad y la disponibilidad. Es más, en este punto, todas las definiciones coinciden: la confidencialidad garantiza que la información solo es accesible para las personas autorizadas; la integridad asegura que un dato permanece idéntico durante su ciclo de vida; y la disponibilidad certifica que un dato es accesible en un momento determinado. Junto con la trazabilidad, estos elementos son los pilares fundamentales de la seguridad de la información.

Y para proteger la confidencialidad e integridad de estos datos, se suele dar una solución: el cifrado. Sin embargo, aunque esta medida es necesaria, no siempre se aplica correctamente. Entre términos como datos vitales, datos sensibles/críticos y datos personales, es fácil perderse. Por ello, muchas empresas creen que no les afecta y que no necesitan proteger sus archivos y comunicaciones. Sin embargo, todas necesitan proteger sus datos.

Al mismo tiempo, es vital que comprendan mejor cuándo estos datos son accesibles y, por tanto, vulnerables. Para acceder a los datos, un ciberdelincuente podría pasar por un terminal o una red de la empresa, los cuales también deberían estar sujetos a la ciberprotección. Y aunque se suele pensar primero en los ordenadores, los smartphones también son un gran punto de entrada para, por ejemplo, un ataque de troyanos. Esto pone de manifiesto la necesidad de salvaguardar los puestos de trabajo, pero también de pensar en limitarlos al uso profesional.

Cómo proteger mejor los datos

Los datos no tienen ningún valor si se quedan en el fondo de un cajón o en un directorio del ordenador. A menudo, solo tienen valor si se comparten. Y es durante estos intercambios cuando son más vulnerables, ya que salen del enclave (en teoría) protegido de su dispositivo de almacenamiento.

Para securizarlos, el cifrado de datos de extremo a extremo permite que la información sea leída solo por el remitente y el destinatario, con un sólido medio de autenticación. También la mantiene fuera del alcance de intrusos, impidiendo que accedan a datos sin cifrar. Pero para que este cifrado de extremo a extremo sea eficaz, debe realizarse bajo la única supervisión de la empresa que quiere proteger sus datos. Las claves de protección, que se utilizan para encriptar los archivos, deben ser propiedad exclusiva de la empresa; solo así se garantiza que la protección de los datos sea totalmente independiente del almacenamiento.

Sin embargo, con el aumento de los dispositivos móviles y el uso generalizado de herramientas de colaboración, algunos datos no están protegidos de extremo a extremo por la empresa. Cuando se utilizan ciertas suites ofimáticas en línea en modo SaaS, una solución de cifrado de datos independiente puede ayudar a garantizar la confidencialidad de los datos en tránsito. Dada la facilidad de uso de estas suites ofimáticas, el reto para los proveedores de soluciones es integrarlas sin problemas para el usuario final, y así asegurar los datos al tiempo que se mantiene una experiencia de usuario sencilla y eficiente. Ahora que los archivos y los correos electrónicos están protegidos, los datos deben estar cifrados de extremo a extremo directamente en los navegadores web.

La importancia de las copias de seguridad de los datos y los derechos de acceso

Si el cifrado de datos puede proteger la integridad y la confidencialidad, ¿qué hay de la disponibilidad? Al fin y al cabo, los datos que son accesibles para cualquiera, aunque estén encriptados, siempre pueden ser... borrados. Por eso, una copia de seguridad eficaz es el primer paso. También es mejor tener un Plan de Recuperación de Desastres (DRP) o un Plan de Continuidad de Negocio (BCP) almacenado en un espacio seguro, digital o no.

Al mismo tiempo, habrá que gestionar los derechos de acceso. Se trata de garantizar que únicamente las personas autorizadas puedan acceder a los datos sensibles, tanto interna como externamente. Sin embargo, se trata de una cuestión compleja, ya que la Gestión de Identidades y Accesos (IAM) implica a todos los responsables de cada departamento o línea de negocio de una empresa. Cada uno de ellos debe ser capaz de determinar quién de su equipo tiene acceso a qué y para qué. Una perspectiva sencilla a primera vista, pero dado el creciente número de herramientas y la rotación de la empresa, la gestión de todos estos privilegios puede convertirse rápidamente en una gran tarea. Sin embargo, es una labor que contribuye a la seguridad de la empresa.

Computing 815