Se puede afirmar que las organizaciones son conscientes de las numerosas consecuencias que conlleva la filtración de datos sensibles, constatadas una y otra vez en los últimos años con la publicación de informes condenatorios, la imposición de elevadas sanciones por incumplimiento normativo o la pérdida de confianza en la marca, por citar algunas. No obstante, aunque las empresas reconocen la necesidad de garantizar la seguridad de los datos sensibles, el proceso para protegerlos de forma efectiva no suele ser tan sencillo.
Para la protección de datos no existe un modelo único. Por lo tanto, en este artículo quiero compartir algunos de los aspectos más importantes sobre protección de datos y cómo evaluar mejor el éxito de los programas de seguridad de datos dentro de una organización.
¿Cómo empezar el proceso de protección de datos sensibles en una empresa?
Lo más importante es abordar este reto desde la perspectiva del negocio. Aunque empezar por agregar tecnología puede parecer el primer paso, para realmente entender cuáles son los mecanismos óptimos de protección de datos, las organizaciones deben tener en cuenta los riesgos a nivel de negocio y de cumplimiento que están asociados a la información crítica. También deben evaluar cuáles son los resultados que esperan obtener para la empresa, es decir, qué considerarían como éxito en lo que respecta a la protección de datos. En este ejercicio, es fácil sentirse abrumado —el tema es sumamente relevante—, pero es crucial que estas prácticas se adopten de forma universal y transversal dentro de la organización. El preciso un enfoque paso a paso para asegurar que las medidas de protección se están implementando correctamente.
¿Cuáles son los principales componentes a tener en cuenta?
Para asegurar realmente los datos sensibles, las organizaciones deben entender el flujo de datos. ¿Cómo entran en la organización? ¿Cómo se mueven a través de su estructura organizativa? ¿Qué departamentos manejan datos sensibles? ¿Dónde se localizan dentro de la organización (considerando aquí los datos ROT: redundantes, obsoletos y triviales)? ¿Cómo salen de la organización y se comparten con terceros y empresas externas?
Esta información es muy valiosa, ya que ayudará a la empresa a determinar en qué puntos es vital implementar herramientas y controles para mejorar la protección. No hay que olvidar que la protección de datos exige un equilibrio entre la necesidad de proteger la información sensible y la de garantizar que se satisfacen las necesidades del negocio y que los flujos de trabajo no se demoran. Entender cómo circulan los datos en la empresa permitirá identificar mejor dónde centrar los esfuerzos para crear el ecosistema de seguridad más adecuado.
Una vez entendido dónde es necesario proteger los datos, ¿qué herramientas debe considerar para conseguirlo?
Existe una gran variedad de soluciones para la seguridad de datos y al momento de evaluar incorporar alguna de ellas, las organizaciones deben tener presente las siguientes cuestiones clave:
- ¿Las herramientas que queremos implantar van a afectar el flujo de los datos?
- ¿Proporcionarán visibilidad de los datos sensibles que tenemos, y controles adicionales para protegerlos mejor?
- ¿Estas herramientas ofrecen protección de datos tanto automatizada como manual, en función de las necesidades de nuestra empresa?
- ¿Cómo funcionarán las nuevas herramientas que queremos implantar con las ya existentes en la empresa para obtener una protección de datos aún más sólida?
Herramientas de Clasificación de Datos, Prevención de Pérdida de Datos (DLP o Data Loss Prevention), Encriptación, Transferencia segura de archivos y Gestión de Derechos Digitales (DRM o Digital Rights Management) son grandes aliadas para asegurar la protección de datos. La clave es encontrar soluciones que puedan trabajar en conjunto para generar un ecosistema de seguridad más eficaz.
¿Cómo pueden las empresas medir el éxito de la protección de datos?
Volver a los objetivos iniciales es un buen punto de partida para saber si se está bien encaminado hacia la protección de datos. ¿Se está logrando lo que se propuso para mitigar los riesgos empresariales y de cumplimiento? ¿Las soluciones implementadas han sido adoptadas por los destinatarios de las mismas (los usuarios finales, por ejemplo, suponiendo que estén involucrados)? ¿Se tiene una mayor visibilidad de los datos, y se entiende dónde se encuentran y cómo se mueven a través de la organización? ¿Confiamos en tener los controles adecuados para los auditores? Estas son solo algunas de las preguntas clave que nos dirán si estamos en camino correcto hacia un ecosistema de seguridad exitoso y robusto.
Por último, debemos tener siempre presente que el escenario de las amenazas está en constante evolución. Es imposible implantar una solución para la protección de datos que "se configure y se olvide", por lo que es esperable que la forma de evaluar el éxito de nuestro ecosistema de seguridad también deba evolucionar continuamente en el seno de las organizaciones. En este terreno, es crítico que las empresas se asocien con proveedores de soluciones que comprendan el cambiante panorama de las amenazas y sean un socio de confianza en su evolución continua de la protección de datos.
¿Cómo podemos ayudarlo a hacer frente a los desafíos de Seguridad de Datos?
Cada organización tiene desafíos de Seguridad de Datos diferentes y por eso requiere soluciones a medida de sus necesidades. Fortra puede ayudarlo a solucionar los principales desafíos de Seguridad de Datos de su empresa ofreciéndole una suite de soluciones de Seguridad flexible, escalable e integrada.