La fuga de datos se ha convertido en una de las principales preocupaciones de CTOs y otros directivos en las empresas. Aunque no hay mecanismos de seguridad infalibles, existen buenas prácticas que permiten reducir el riesgo de fugas de información.
Prevenir fugas de datos en las organizaciones se ha convertido en uno de los principales objetivos de los directivos de empresas en la actualidad. Esta preocupación es razonable si tomamos en cuenta que el gasto mundial en productos y servicios de seguridad de la información estuvo alrededor de 86,4 mil millones de dólares en el año 2017, y se espera que para el año 2018 esta cifra supere los 93 mil millones, según estadísticas de Gartner.
Ejemplos de Fugas de datos ocurridos en 2017
En el año 2017, importantes empresas fueron víctimas de ataques que consiguieron extraer información confidencial de sus bases de datos. Tenemos el ejemplo del ataque a Equifax, uno de los más grandes buró de crédito, a quienes los cibercriminales robaron información personal de más de 145 millones de personas.
También se habló mucho, a mediados del 2017, de la brecha de seguridad descubierta en la nube de Amazon (AWS), por expertos en seguridad informática, la cual permitía el acceso a la información de casi 200 millones de electores de los Estados Unidos.
¿Ayudará la GDPR a prevenir fugas de datos?
La nueva legislación conocida como GDPR, entrará en vigencia en mayo de 2018, y contempla fuertes sanciones para las empresas que realicen un tratamiento de datos personales de manera inadecuada, razón por la cual, las organizaciones tienen un motivo adicional para reforzarse en la protección de los datos personales de sus clientes y usuarios, y prevenir fugas de datos.
¿Cómo prevenir fugas de datos?
La seguridad de la información es una tarea que debe evolucionar tan rápido como lo hacen los métodos de ataques de los cibercriminales, es por ello, que no resulta sencilla, pero aquí mencionamos algunas buenas prácticas que pueden dificultar el acceso indebido a información corporativa:
- Implementar procesos estandarizados para impedir el acceso físico o electrónico de ex empleados de la organización, inmediatamente después que dejan su cargo vacante.
Contar con un manual de seguridad interno que sea difundido y socializado de forma regular con los empleados. - Documentar los privilegios y niveles de acceso a datos confidenciales otorgados al personal de la empresa, y mantener un registro o bitácora de los accesos realizados.
Implementar procedimientos que garanticen que el usuario utiliza contraseñas robustas, y que las mismas sean cambiadas regularmente, así mismo evitar que sean compartidas con otros usuarios tanto internos como externos a la empresa. Esto es lo que se conoce como una Política de Contraseñas. - Invertir esfuerzos en la búsqueda constante de fallas o brechas de seguridad en los sistemas de la organización, que permitan que las mismas sean halladas antes que un potencial atacante lo haga.
- Controlar el acceso a documentación mediante una política de autenticación y permisos.
Ofrecer a los usuarios mecanismos controlados para enviar o recibir documentación.
Invertir en soluciones de seguridad que evalúen de forma automatizada nuestras aplicaciones, de modo que de forma proactiva podamos detectar riesgos. En Athento por ejemplo, utilizamos Detectify entre otras. - Asegurarnos de que la infraestructura que soporta nuestras aplicaciones tiene protección DDoS.
- Implementar métodos de encriptación/desencriptación seguros de la información confidencial, así como de métodos de respaldo y restauración de la misma. En el caso de Athento, el repositorio puede ser encriptado.
- Capacitar a los empleados para reconocer posibles ataques de phishing, malwares e ingeniería social, reforzando de esta manera la seguridad implementada por medios automáticos y reduciendo la posibilidad del error de seguridad humano.
- Evaluar de forma periódica la seguridad de nuestros proveedores cloud mediante pruebas programadas de hacking.
El papel del gestor documental en la seguridad de los datos
Recordemos que la información valiosa de la compañía no sólo se encuentra en bases de datos de aplicaciones de negocio, sino también en nuestros documentos. Toda compañía debería tener niveles de garantía con respecto a la seguridad de sus documentos, y no sólo aquellas que almacenan datos sensibles como información sanitaria. Esto es así porque con casi toda probabilidad, en nuestros documentos estamos almacenando algún tipo de información de carácter personal, ya sea de clientes o de empleados.
Es importante pues, contar con un gestor documental capacitado para intervenir de manera activa en la estrategia de prevención de fugas de datos implementada por la organización. Una solución de gestión documental eficiente, apoyada en buenas prácticas de control de acceso y gestión de permisos, mecanismos que ayudan al cumplimiento de la GDPR, y estrategias técnicas como encriptación del repositorio de datos, ayudarán a prevenir fugas de datos, garantizando así que la información de los clientes y usuarios permanezca segura.
También es importante considerar las capacidades de los gestores documentales en cuanto a la trazabilidad de todas las acciones acometidas por los usuarios en el sistema. Es importante no sólo que el acceso a la información sea controlado, sino que además sea registrado.
Un apartado extenso de seguridad, debería dedicarse también a la forma en la que nuestros empleados comparten o solicitan información a nuestros clientes. Muchos de los documentos que circulan en correos o en papel, contienen información sensible que debemos controlar. No se trata de limitar las posibilidades de los usuarios, sino de ofrecerles opciones cómodas que no pongan en peligro la seguridad de los datos.
En Athento contamos con soluciones de gestión documental que pueden ayudar a las organizaciones a conservar de manera segura los datos personales de sus clientes y cualquier tipo de información clasificada. Puedes probar nuestra solución desde la web de Athento por 30 días.
Fuente: http://blog.athento.com/2018/02/estrategias-para-prevenir-fugas-de-datos.html