Introducción
Cuesta concebir la cantidad de datos digitales que se transmiten por internet al cabo de una semana, por día, por hora e incluso por segundo. Cada vez que se carga una página web o se descarga un archivo, se produce una transacción de intercambio. Del mismo modo, las empresas y sus empleados intercambian información constantemente y con mucha frecuencia. Por eso, el ecosistema de confianza, así como la red de contactos con quienes compartimos información, ha crecido de forma exponencial. Este proceso ya no se limita al perímetro de nuestra organización sino que se extiende a los socios, proveedores, clientes, clientes potenciales y, en definitiva, personas de todo el mundo.
Por consiguiente, el desafío ya no radica en contar con las herramientas y la tecnología necesarias para colaborar e intercambiar información, sino en cómo hacerlo de forma segura. Asimismo, consiste en entender qué información confidencial y sensible tiene que protegerse y estar seguros de que los empleados tengan la formación adecuada al respecto, así como en implementar las políticas y las tecnologías necesarias para proteger los datos. Adicionalmente, el teletrabajo y el modelo de trabajo híbrido que emergieron con la llegada del COVID-19 parecen haber llegado para quedarse en muchas organizaciones, al menos durante un tiempo. Esto no hace sino aumentar los puntos en los que los datos se vuelven más vulnerables.
En Fortra, disponemos de soluciones de Seguridad de Datos que ayudan a proteger la propiedad intelectual y la información sensible. Nuestros productos trabajan a distintos niveles para satisfacer los requisitos en materia de protección de datos: desde la clasificación de los datos de la organización como punto de partida, hasta la detección y prevención de filtraciones de información sensible fuera de la empresa. En esta guía, presentaremos las mejores prácticas recomendadas, expondremos algunos casos que ponen de manifiesto lo fácil que resulta que la información confidencial y sensible se vea comprometida, y detallaremos cómo puede ayudar nuestra suite de soluciones de Seguridad de Datos.
Mejores Prácticas Para Enviar Y Compartir Información Confidencial De Forma Segura
Los Crecientes Volúmenes De Datos Son Un Imán Para Los Hackers
Los datos suelen ser el activo más valioso de una organización. Hoy en día, los Negocios generan, almacenan, envían y reciben más datos que nunca. Por otro lado, existe una mayor regulación para gobernar la información, que requiere que las organizaciones la protejan de accesos no autorizados. También hay un mayor número de filtraciones de datos, que tiene como resultado multas millonarias, así como la pérdida de clientes y de reputación. Se trata de un momento desafiante, sobre todo teniendo en cuenta que el teletrabajo ya es una realidad permanente para muchas organizaciones, cuyos empleados necesitan trabajar desde distintos lugares de forma segura. Gracias al gran número de herramientas de colaboración que existe, nunca antes había sido tan fácil intercambiar información, aunque ahora más que nunca es fundamental mantenerla lo más segura posible. Si los datos son vulnerables a los hackers, o incluso a errores humanos, una compañía debe prepararse para pagar: a nivel financiero, en recursos humanos y para recuperar su reputación, en el caso de que se produzca una filtración, ya sea interna o externa. Según un estudio de IBM, el costo medio de una filtración de datos se estima en 3,92 millones de dólares. Sectores como el financiero, sanitario y de venta minorista, que son un objetivo claro dada la valiosa información personal que poseen, pueden pagar un precio aún mayor. Independientemente del sector en el que opere, si almacena o transfiere información sensible e identificable, su organización se convierte automáticamente en un objetivo codiciado.
¿Por Qué Es Necesario Proteger Los Datos Sensibles O Valiosos?
Hay muchos motivos por los que las empresas necesitan proteger la información sensible o valiosa cuando comparten archivos tanto dentro como fuera de la organización: cumplir las normativas de protección de datos o los requisitos del sector, proteger la confidencialidad o prevenir el acceso no autorizado, entre otros. Existen numerosas herramientas que ayudan a las organizaciones a transferir información confidencial y facilitan la colaboración con usuarios de diferentes lugares del mundo. Sin embargo, no es fácil encontrar una solución que pueda gestionar el intercambio de archivos, o el intercambio seguro de información confidencial, con una frecuencia regular. A menudo, cuesta seguir el rastro de la información una vez que se ha compartido, o identificar si esa información es apta para compartirse.
Tradicionalmente, la Seguridad de Datos se ha centrado en el control de la infraestructura —y de las redes y dispositivos que operan en ella—, a fin de proteger los datos y llevar un control estricto de quién tiene acceso. Aunque es un sistema seguro, dificulta el intercambio de información y puede llegar a afectar a la productividad y competitividad de una organización. Además, a partir de la llegada del COVID-19, la modalidad de trabajo que se consolide probablemente será híbrida, por lo que los empleados seguirán teletrabajando en el futuro.
Proteger Los Datos
Es necesario adoptar las medidas técnicas y organizativas apropiadas para evitar el acceso no autorizado o ilícito a la información confidencial, sensible y personal. Además, hay que prevenir la pérdida accidental o la eliminación de los datos confidenciales. Un ejemplo es el que se da con los empleados del sector público británico, que desde hace poco tiempo les resulta más fácil identificar la información confidencial que debe protegerse. Esto se debe a que el Gobierno ha implementado un sistema de etiquetado —que clasifica el contenido entre OFICIAL, SECRETO y ALTO SECRETO— para asegurar la correcta gestión y protección del acceso a la información.
Este proceso ha evolucionado en general y la mayoría de las administraciones públicas del mundo cuentan con algún sistema de etiquetado para proteger la información. Sin embargo, no es habitual que las empresas del sector privado implementen estas políticas o sistemas, por lo que los empleados no tienen claro qué es información sensible confidencial. Por eso, es importante que las organizaciones adopten una cultura de la Seguridad y que formen a los empleados sobre cómo clasificar, gestionar, transferir y eliminar los distintos tipos de datos correctamente. Por supuesto, necesitarán contar con las herramientas y las tecnologías adecuadas para poner estos sistemas en práctica de forma eficaz, proactiva y segura.
Para decidir el método más apropiado para compartir datos confidenciales y el nivel de Seguridad requerido, las organizaciones deben tener en cuenta el grado de sensibilidad de la información y la urgencia de la situación, y basar sus elecciones en los riesgos que entrañe la operación. Por ejemplo, cuando un empleado comparte información confidencial, debe asegurarse de que el destinatario sabe para qué se comparte dicha información y entienda qué limitaciones conlleva, es decir, qué información puede o no compartirse con terceros y en qué circunstancias concretas. También deberá asegurarse de que, si la información que han enviado se comparte de nuevo, esto se haga de forma segura. El caso es el mismo, tanto si se comparte dentro como fuera de la organización.
Asimismo, las empresas que trabajan con terceros tienen que saber qué socios de Negocio necesitarán acceso a la información y para qué, y qué riesgos entraña esta situación. Del mismo modo, tendrán que conocer los medios de control que dichos terceros tienen implementados para proteger los datos y evitar las ciberamenazas, dentro y fuera de su organización. Todos estos supuestos tienen que monitorearse, registrarse y revisarse con regularidad, y deben sentarse unas bases que regulen las actividades habituales entre la organización y terceros.
Entender En Qué Situaciones La Información Está Más Expuesta
No todas las organizaciones son conscientes de que la información que manipulan es sensible o confidencial. A continuación presentaremos algunos casos, en distintos departamentos o sectores, en los que se han compartido datos con la persona equivocada accidentalmente. A menudo, esto es fruto del error humano y no de una actividad maliciosa; de ahí que resulte tan importante capacitar a los empleados e implementar políticas de Seguridad.
Departamentos Jurídicos U Organizaciones Jurídicas
El departamento jurídico de un gran corporación u organización jurídica tiene acceso a información confidencial, financiera y contractual. Imaginémonos, por ejemplo, que trabaja en un plan de fusión y adquisición. En este escenario, en el que los plazos son tan críticos, ninguna de las empresas implicadas puede arriesgarse a que la documentación confidencial caiga en las manos equivocadas. Tampoco a sufrir un retraso de uno o dos días porque, pongamos por caso, una herramienta de Prevención de Pérdida de Datos (DLP) haya puesto la documentación en cuarentena para analizar falsos positivos. Del mismo modo, debe preservarse la confidencialidad de la información relativa a la adquisición —en especial si la empresa es pública— y permanecer a buen recaudo entre los ejecutivos directamente responsables de la transacción.
Como consecuencia, en este caso en que la herramienta DLP ha identificado datos susceptibles de poner en cuarentena antes de publicar el comunicado, alguien del equipo de IT deberá revisar una documentación que, seguramente, no debería estar leyendo. Esto podría considerarse un caso de uso indebido de información privilegiada financiera: la documentación se pone en cuarentena, se revisa y, posteriormente, se efectúa una negocio en el mercado bursátil gracias a la información obtenida.
Recursos Humanos E Información De Identificación Personal (PII)
Los departamentos de Recursos Humanos manipulan constantemente información confidencial y PII. Pongamos el caso de una medida disciplinaria. Las notas que se toman en las reuniones y la correspondencia por email deben ser confidenciales para las partes implicadas. Además, en el proceso puede haber documentos en los que aparecerá el salario y las primas de los empleados, o bien información relativa a su estado de salud. De nuevo, si alguno de estos documentos no se gestiona adecuadamente, la información que contienen se podría divulgar, en lugar de protegerla como altamente confidencial al compartirla.
Sector Salud
Si pensamos en el volumen de datos que circula actualmente a consecuencia del COVID-19, nos daremos cuenta de lo fácil que es que terminen en las manos equivocadas. En el ámbito sanitario hay un antes y un después a raíz de la pandemia. Las citas rutinarias se han convertido en citas por videollamada, durante las cuales los datos del paciente traspasan las paredes de los hospitales. Esto significa que los profesionales del sector Salud ahora pueden acceder a la información personal de los pacientes en remoto, con los consiguientes problemas de privacidad y Seguridad que esto puede traer. En paralelo, los hackers están explotando estas vulnerabilidades, y los millones de registros y datos de los pacientes podrían acabar vendiéndose en la dark web. Este tipo de datos resulta crucial para preservar la integridad y la confidencialidad de los historiales médicos de pacientes/clientes. Y no solo eso: con la introducción de los nuevos reglamentos, como el Cumplimiento del HIPAA en Estados Unidos, se exige al personal sanitario que proteja la información sensible sobre la salud del paciente y que no la divulgue sin su consentimiento o sin haberle informado previamente.
Pérdida De Propiedad Intelectual
Durante la investigación, desarrollo y fabricación de las vacunas, las universidades y los centros de investigación trabajan estrechamente con las empresas farmacéuticas, y necesitan compartir información sensible y altamente confidencial. Dicho esto, AstraZeneca, por ejemplo, no querría que la Universidad de Oxford compartiera cierta información con la competencia. No obstante, algo tan sencillo como un error al introducir el destinatario de un correo electrónico podría suponer que la información relativa a la fórmula de la vacuna cayera en las manos equivocadas. En ese caso, la propiedad intelectual de esos datos se vería comprometida y podría terminar en el buzón de la competencia. La pérdida de la propiedad intelectual es un riesgo enorme y las consecuencias —más allá de la propia pérdida— son significante. Si esto hubiera ocurrido en realidad, la próxima vez que AstraZeneca se planteara desarrollar una vacuna, se lo pensaría dos veces antes de asociarse con la Universidad de Oxford, a menos que le garantizaran la protección de la información sensible.
La Rápida Migración A La Cloud Y Microsoft 365 Conlleva Brechas De Seguridad
La pandemia del COVID-19 también ha acelerado la digitalización, y una de las tendencias fruto de esta Transformación Digital es la migración a Microsoft 365. La eficacia de esta suite de colaboración es innegable, y muchas organizaciones se están beneficiando de sus funcionalidades Cloud. Pero con las prisas de implementar sistemas rentables, ¿no estarán las organizaciones olvidando aspectos esenciales, como la Seguridad de los correos electrónicos, porque los planes que han contratado no ofrecen una protección adecuada para la información sensible o contra los ciberataques?
Para evitar que se produzca una filtración de datos o perder información confidencial, las organizaciones necesitan que los canales de comunicación de su Negocio sean seguros. Cuando llega un correo electrónico, inmediatamente asumimos que podemos abrirlo y responder, sobre todo si procede de una fuente fiable. Aunque Microsoft 365 es eficaz contra el spam y el malware —y ofrece varios niveles de Seguridad para el correo electrónico— no garantiza una inspección exhaustiva del contenido para obtener la máxima protección.
Otro de los aspectos de la Seguridad en el que Microsoft 365 se queda corto es la capacidad de detectar la información sensible (como los datos PII) dentro de los archivos de imágenes, como capturas de pantalla y documentos escaneados. Tampoco es capaz de eliminar metadatos (que podrían provocar una filtración de datos) y las amenazas de malware ocultas en los documentos y archivos de imágenes. Aunque haya un sandbox para analizar los documentos, la protección contra el ransomware es limitada. En definitiva, no se trata de una solución exhaustiva que garantice el control y la protección de la información crítica y sensible, en especial cuando se comparte con terceros.
Para superar estas carencias, las organizaciones implementan soluciones complementarias a fin de reforzar la Seguridad y mejorar el rendimiento de la plataforma de Microsoft.
Estrategia De Seguridad De Datos Por Capas
Hemos visto solo algunos ejemplos de cómo los datos pueden compartirse por accidente, ya sea fruto del error humano o de actividades maliciosas. Entonces, ¿cómo transfieren las organizaciones los datos confidenciales de forma segura? ¿Y cómo se aseguran de que solo los destinatarios autorizados reciben la información sensible?
Por su uso generalizado, el correo electrónico es un canal especialmente vulnerable y suele ser el objetivo de los hackers, que se hacen pasar por fuentes fiables. Así pues, es fundamental que las organizaciones se protejan adecuadamente del malware entrante, de las amenazas persistentes avanzadas o cualquier otro ataque que ponga en peligro el Negocio.
En Fortra, recomendamos un modelo por capas para abordar la Seguridad de Datos, que empieza con los pasos siguientes:
Paso 1: Identificar Y Clasificar Los Datos
La base de una buena estrategia de Seguridad de Datos empieza por identificar y clasificar qué tipo de información se debe proteger, incluida la información crítica no estructurada, como la propiedad intelectual. Este paso determina los parámetros básicos de control y gestión necesarios para ayudar a alcanzar el Cumplimiento. Ya sea que necesite proteger información pública, financiera, de identificación personal (PII) u otras, establecer y clasificar los datos que hay que proteger sienta las bases para las capas de Seguridad adicionales, necesarias para continuar protegiendo la información a lo largo de su viaje.
Las herramientas de Clasificación de Datos son fundamentales para garantizar que la información sensible se trate, almacene y utilice de forma adecuada durante su vida útil, en función de su relevancia para la organización. Una buena clasificación —empleando el etiquetado visual y aplicando metadatos en los correos electrónicos y documentos— protege a la organización del riesgo de que la información sensible quede a merced de individuos u organizaciones no autorizados.
Paso 2: Detectar Y Prevenir Las Filtraciones De Datos
En algún momento sucederá. Un empleado enviará por error información sensible a la persona equivocada o tal vez transferirá un documento supuestamente «seguro» que contiene metadatos ocultos que pueden poner en riesgo a la organización. Existen innumerables situaciones que pueden poner a su organización en riesgo, a menos que tenga una solución para detectar y sanear la información en tiempo real, antes de que se envíe a la Cloud o a terceros. Antes de que se produzca una filtración.
En consecuencia, las organizaciones deben asegurarse de que los documentos que suben y descargan de Internet se examinan en detalle, aunque procedan de una fuente fiable. Y para hacerlo de forma eficaz, necesitan una solución que elimine los riesgos del correo electrónico, la web y los endpoints, y que a la vez permita transferir la información. Integrar la tecnología de Prevención de Pérdida de Datos (DLP) en dichos canales permite que la información fluya, pero eliminando las amenazas, protegiendo los datos críticos y asegurando el Cumplimiento. No tiene que suponer un obstáculo para el Negocio ni ser complicado de gestionar. Esto es muy importante, porque las soluciones de DLP estándar, con funcionalidades básicas de detención y bloqueo, a menudo provocan muchos retrasos en las comunicaciones legítimas del Negocio y una carga de trabajo excesiva por culpa de los falsos positivos.
Paso 3: Asegurar Y Proteger Los Datos
Una vez que se haya asegurado de que la información está identificada y clasificada, limpia de información potencialmente sensible y aprobada para que los usuarios autorizados la envíen, es momento de enviarla o transferirla de forma segura. Para ello, puede encriptar el correo o, si se envían con regularidad grandes volúmenes de datos, puede usar una solución MTF (Transferencia Segura de Archivos). La tecnología MFT protege la información en el punto en el que es más vulnerable, esto es, mientras viaja a su destino en aplicaciones, dominios o dispositivos no administrados.
Este canal seguro proporciona una Seguridad de Datos de extremo a extremo, automatizada, que se gestiona desde una plataforma centralizada que incluye registros de auditoría, controles de acceso de usuarios y otros sistemas de protección destinados a la transferencia de archivos.
Para garantizar la confidencialidad de los datos, independientemente de adónde o cuándo viajen, el software de Gestión de Derechos Digitales (DRM) da a las organizaciones la capacidad de monitorear, auditar y revocar el acceso otorgado en cualquier momento. Funciona a través de la encriptación de los datos con una clave única, que está protegida a través de una plataforma Cloud. Las claves se envían con los datos de forma segura, y la plataforma audita cada una de las solicitudes de acceso, tanto si tienen éxito como si no, a fin de que la organización pueda monitorear su información confidencial en cualquier momento.
Distribuir en capas las soluciones de Seguridad de Datos y reforzar las funcionalidades nativas de aplicaciones como Microsoft 365 es una estrategia proactiva para proteger su información sensible y confidencial. La Seguridad de Datos es tan fuerte como los distintos elementos que la componen. Una estrategia proactiva consiste en implementar capas de soluciones confiables para garantizar que su información sensible permanecerá segura durante todo su ciclo de vida. La suite de soluciones de Seguridad de Datos de Fortra ofrece todo lo que necesita para proteger sus datos: identificación y clasificación, DLP integrado, Transferencia Segura de Archivos y mucho más.
Más Información Sobre Las Soluciones De Seguridad De Datos De Fortra
Nuestra completa suite de soluciones de Seguridad de datos incluye:
Clasificación De Datos
- Permite identificar, etiquetar y controlar sus datos valiosos o sensibles
- Ayuda a determinar el valor de los datos y a instaurar una cultura en torno a la Seguridad
Prevención De Pérdida De Datos Integrada (DLP)
- Minimiza el riesgo de una filtración de datos al eliminar de forma automatizada la información sensible de los correos electrónicos y documentos que se envían, se reciben o se transfieren a la Cloud.
- Esta solución aplica una capa extra de saneamiento para protegerse de los correos de phishing, ransomware y otras amenazas persistentes avanzadas
Transferencia Segura de Archivos (MFT)
- MFT proporciona un sistema seguro para compartir datos fuera de la organización y alcanzar el Cumplimiento
- Automatiza los flujos de trabajo y se integra con aplicaciones de terceros
- La aceleración de archivos de gran tamaño ayuda a mover los datos de forma rápida y segura
Gestión de Derechos Digitales (DRM)
- Mantiene la Seguridad en sus datos, sea a dónde sea que viajen
- Permite monitorear, auditar y revocar los accesos en cualquier momento
Para obtener más información, visite:
https://www.fortra.com/es/soluciones/seguridad-de-informacion
Sobre Fortra
Fortra es una compañía de Ciberseguridad como ninguna otra. Hemos creado un futuro más simple y sólido para nuestros clientes. Nuestro equipo de expertos junto con el mejor portfolio de soluciones integradas y escalables aportan equilibrio y control a organizaciones en todo el mundo. Somos impulsores del cambio positivo y su aliado de confianza para darle tranquilidad en cada paso de su camino de Ciberseguridad. Conozca más en fortra.com/es.