|

Cinco prácticas para proteger los datos corporativos más sensibles

Existen muchos casos de uso donde una solución de Information Rights Management (IRM/E-DRM) como SealPath puede ayudar a gestionar de la forma más segura la documentación de tu empresa. SealPath permite una protección dinámica sobre la información, que viaja con ella allí donde vaya. El dueño de la información puede cambiar los permisos sobre los ficheros e incluso revocar accesos a los mismos, aunque estos ya no estén en su poder.

Por otro lado, el usuario que ha protegido puede monitorizar las acciones sobre el documento, por ejemplo, quién lo ha abierto o si alguien lo está intentando abrir sin permisos. El administrador de la organización, en cambio, puede disponer de una vista global de la actividad de todos los documentos protegidos de la organización.

1. Facilitar un trabajo remoto seguro

El trabajo remoto se ha convertido en una realidad para empresas en todo el mundo. La situación de pandemia global de Covid-19 ha hecho crecer el teletrabajo de forma radical, pero es una tendencia que ha venido para quedarse. El trabajo remoto supone graves riesgos en lo que respecta a la gestión de información sensible, ya que los datos corporativos llegan a equipos no gestionados y en redes con un nivel de seguridad inferior a la corporativas.

Si antes sólo una pequeña parte de la documentación sensible de la organización quedaba fuera de la misma, en una situación de trabajo remoto, y aunque los usuarios accedan a sus equipos vía VPN, una buena parte de la documentación sensible de la empresa pasa a equipos ubicados fuera de la organización en incluso a dispositivos personales.

A través de un enfoque de seguridad centrada en los datos como SealPath el dueño de los documentos tiene la capacidad de trazar accesos y controlar sus datos. Da igual donde estén los datos. La empresa sigue siendo la dueña de los mismos y si es necesario revocar el acceso a la información crítica por parte de usuarios que han dejado la organización, podremos hacerlo de forma tan simple como presionar un botón el panel de control de SealPath.

2. Incrementar la seguridad en la nube

La compartición de información en la nube ha crecido exponencialmente en los últimos años. La información corporativa que antes se almacenaba en servidores de ficheros o gestores documentales dentro de la organización, ha pasado a almacenarse ahora en aplicaciones Cloud que actúan como repositorios remotos de datos.

Existen diferentes tipos, como unidades de disco remotas tipo Amazon S3, o Azure Files, donde la organización puede almacenar grandes cantidades de ficheros en la nube. En otros casos, se utilizan soluciones de EFSS (Enterprise File Sync & Share) como OneDrive, Google Drive o Box para almacenar ficheros de la organización y tenerlos sincronizados con el equipo local. También, gestores documentales como SharePoint Online permiten sincronizar la documentación con carpetas locales en el disco.

En muchas ocasiones la información corporativa acaba también en nubes personales como Dropbox o las versiones personales de Google Drive por ejemplo.

Es posible que los permisos de acceso a estos ficheros estén controlados, pero ¿Qué sucede cuando esta información es descargada o está en un equipo local? Que perdemos el control sobre estos datos.

Aplicando un cifrado a los datos que viaja con ellos podemos garantizar que estos están seguros tanto si están en una nube privada, en una pública como Box, Office 365 o Google Drive, o tanto si el usuario los ha descargado a su equipo. En cualquier momento podremos bloquear su acceso, siga el documento en la nube o aunque se haya descargado de ella. SealPath permite además una protección automática en este tipo de repositorios y la posibilidad de acceder a documentos protegidos en los mismos directamente desde el navegador, sin necesidad de descargarlos.

3. Securizar documentación financiera o legal

Dos de los departamentos de las organizaciones que más información confidencial sensible gestionan son el financiero y legal. Informes financieros, proyecciones, contratos de operaciones en curso, que lleguen a manos de quien no deban pueden ocasionar graves perjuicios para la organización.

El riesgo muchas veces no está fuera, sino que esta información puede ser accedida internamente por parte de usuarios internos malintencionados. No es lo mismo un documento de marketing, ya publicado en la web de la organización que un contrato que se está cerrando con un partner o datos de ventas, compras, etc. gestionadas por el departamento financiero de la organización.

Como hemos comentado en apartados anteriores, esta información puede estar en un servidor en red, en la nube o en los equipos de los usuarios, incluso en equipos personales en casa. ¿Por qué no en vez de controlar los permisos en estas ubicaciones, aplicamos un control de permisos y protección que viaje con los documentos allí donde vayan?

No olvidemos que los equipos de infraestructura tienen permisos de administrador en las unidades compartidas en red, en las aplicaciones Cloud. Sin embargo, en estos sitios guardamos documentación a la que ellos no deberían tampoco tener acceso.

Protegiendo estos datos con un enfoque de seguridad centrada en los datos podremos mantenerlos a salvo de accesos indebidos y trazando cualquier acceso incluso por parte del personal de IT.

4. Securizar información de Dirección y del Consejo de Administración

Planes estratégicos, actas de reunión de Dirección, información sobre posibles fusiones o adquisiciones son algunos de los tipos de documentación confidencial gestionada en el ámbito de Dirección.

En muchos casos, existe personal del Consejo de Administración de una empresa que son externos a la organización y no trabajan en el día a día en la misma. Sin embargo, es necesario compartir con ellos información crítica de la sociedad. En ocasiones, se comparte información relativa a operaciones de fusiones, adquisiciones o ventas que si se filtran pueden dañar la operación o a la propia organización.

Esta documentación está normalmente en PCs, portátiles y otros dispositivos de altos directivos de la compañía o miembros del Consejo de Administración. Sus equipos, no están a salvo de un descuido, pérdida, o posible ataque de malware.

Resulta crítico que controlemos quién puede tener acceso a esta información, con qué permisos, desde qué redes y auditemos en todo momento posibles accesos indebidos. Una solución de seguridad centrada en los datos puede hacer que las comunicaciones del Consejo, o datos de Dirección estén cifrados y protegidos allí donde viajen, tanto dentro como fuera de la organización.

5. Cumplimiento de regulaciones

En el caso de empresas y organizaciones que operan en el ámbito de la Unión Europea, bajo la EU-GDPR, es necesario mantener bajo control los datos personales que se gestionan de ciudadanos, especialmente datos de ciertas categorías como los datos médicos, pertenencia a sindicatos o religión.

No sólo es necesario notificar en menos de 72 horas una pérdida de datos personales que gestionamos de terceros, sino que las organizaciones están expuestas a importantes sanciones que pueden llegar a 20M€ o al 4% de la facturación global del grupo.

¿Puede una gran empresa arriesgarse a perder los datos que gestiona de terceros y estar expuesta a este tipo de multas? Existen múltiples tipos de posibilidades de exfiltración de este tipo de datos: Errores humanos, empleados maliciosos, una fuga en un partner con el que colaboramos, un ataque de malware…

No olvidemos que en los últimos ataques de ransomware, no sólo se están cifrando los datos dentro de la organización, sino que los atacantes los extraen y extorsionan con la posibilidad de publicarlos si no se paga un rescate. Ya son muchas las organizaciones que han pagado estos rescates de cientos de miles de euros para evitar multas, litigios y mayores repercusiones sobre su reputación.

En otras regulaciones como PCI se deben aplicar controles sobre información de tipo financiero. En otros países fuera de la Unión Europea existen también regulaciones similares que las organizaciones deben cumplir. Estas regulaciones recomiendan normalmente el cifrado como una técnica eficiente de protección, pero si además podemos aplicar controles de acceso, revocación y auditoría, estaremos mejorando de forma sustancial seguridad con la que se gestiona internamente este tipo de información.

Aplicando una protección que viaja con los datos, que nos permite auditar accesos, permite que los ficheros con datos de terceros, financieros, médicos, estén seguros en cualquier ubicación y si por un ataque de malware, como por ejemplo un ransomware, son exfiltrados, el atacante verá que están cifrados y no podrá acceder a los mismos.

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.