Guía Esencial

Protección de datos empresariales: Guía Esencial

Una completa colección de artículos, videos y más, seleccionados a mano por nuestros editores
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Seguridad de datos móviles y retos de cumplimiento normativo en la empresa

Dispositivos móviles ponen seguridad de datos y cumplimiento normativo en peligro. En la era BYOD, IT debe vencer retos de seguridad y cumplimiento.

En la nueva era de “trae tu propio dispositivo” (BYOD), las empresas están luchando cada vez más con la forma de proteger sus datos más sensibles para que no se vean comprometidos a través de dispositivos móviles o aplicaciones orientadas al consumidor. Un experto analiza los retos de seguridad de datos móviles y cumplimiento normativo, y cómo las empresas pueden manejar la protección de datos en la nube.

¿Cuáles son las mayores amenazas de seguridad planteadas cuando los   dispositivos de los empleados almacenan datos corporativos y acceden a las redes de la empresa?

Uno de los riesgos más importantes es la pérdida de datos, y es por eso por lo que la seguridad de los datos móviles es tan importante. La información privada y confidencial puede ser almacenada en estos dispositivos, a veces de maneras desconocidas para sus propietarios, como en los archivos temporales o en el caché. Cuando un dispositivo se pierde o es robado, los datos privados y confidenciales pueden perderse. Los empleados que dejan la empresa pueden llevarse información corporativa valiosa, a menos que las empresas controlen qué datos se permiten en dispositivos personales y dispongan de los medios para hacer cumplir sus políticas. Los empleados que instalan aplicaciones en sus dispositivos pueden no dar mucha importancia a sus condiciones de uso.

Sin embargo, estos acuerdos pueden tener consecuencias para la información corporativa en un dispositivo. Por ejemplo, una aplicación de red social puede copiar una lista de contactos del usuario del dispositivo; si la información de contacto de su  cliente está en ese dispositivo, podría ser incorporada a la base de datos de un desarrollador.

Otros riesgos de seguridad incluyen la apertura de la infraestructura a dispositivos móviles sin una supervisión adecuada, el potencial de software malicioso para entrar en su red a través de dispositivos móviles, además de los retos de seguridad y cumplimiento normativo derivados de la posible incapacidad para hacer cumplir las regulaciones de cumplimiento si no se tienen implementados sistemas de MDM (Gestión de Dispositivos Móviles) o DLP (Prevención de Pérdida de Datos).

¿Qué pasa con los riesgos de servicios en la nube orientados al consumidor, tales como el correo electrónico personal y los servicios de almacenamiento en la nube?

 De nuevo, la pérdida de datos es el principal riesgo aquí. Al igual que los dispositivos móviles, el correo electrónico personal puede convertirse en un conducto para la filtración de información corporativa. Permitir a los empleados utilizar su correo electrónico personal crea problemas de seguridad y cumplimiento. Por ejemplo, las políticas aplicadas en un servidor de Microsoft Exchange pueden funcionar bien para su sistema de correo electrónico interno, pero no proporcionan protección para el correo electrónico enviado a través de cuentas personales. Tenga en cuenta la dificultad de llevar a cabo operaciones de detección electrónica si los empleados han enviado material relevante a través de su correo electrónico personal.

Si los empleados utilizan dispositivos personales y servicios en la nube para fines relacionados con el trabajo, ¿cuáles son los desafíos en cuanto a cumplimiento normativo?

El cumplimiento normativo protege a los activos de la información y asegura que los dispositivos cumplan las normas mínimas. Algunas normas, como el Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) y el Health Insurance Portability and Accountability Act, incluyen regulaciones sobre la seguridad de los dispositivos. 

Las normativas no definen las diferentes normas sobre la base de quién es dueño de un dispositivo. Si el reglamento exige que los dispositivos móviles utilicen un firewall personal, los dispositivos móviles (los de los empleados y los del negocio) deben cumplirlo. En muchos casos, una empresa no sólo debe cumplir con una serie de reglamentos, sino también demostrar que los está cumpliendo. En la era de BYOD, esto conlleva la supervisión y la presentación de informes sobre los dispositivos, aquellos que son propiedad del negocio y los que son propiedad de los empleados, que se utilizan en las operaciones sujetas a regulaciones.

Los servicios personales en la nube, como por ejemplo los servicios de almacenamiento de archivos y de correo electrónico personal, introducen similares desafíos de cumplimiento normativo. 

Por ejemplo, una norma puede exigir que los datos confidenciales se almacenen de forma cifrada. Su empresa puede cumplirla ahora con cifrado de disco completo, pero ¿cómo va a cumplir con el requisito si los empleados pueden utilizar un servicio personal de almacenamiento en la nube?

¿Qué tipo de políticas pueden implementar las organizaciones para garantizar la seguridad de los datos móviles y el cumplimiento normativo?

Debemos definir una política de clasificación de datos. No todos los datos son igualmente valiosos para una organización. La información privada y confidencial debería tener  mayor protección que la información pública y sensible. Estas clasificaciones pueden ayudar a las organizaciones a determinar qué tipos de datos, si los hay, pueden residir en dispositivos propiedad de los empleados  y en servicios personales en la nube.

Las empresas deberían registrar y supervisar los dispositivos personales que se utilizan en operaciones comerciales. Los empleados deben estar de acuerdo con una política de uso aceptable cuando se registran. Esta política debería responder a las preocupaciones comerciales legítimas, incluyendo el derecho de una empresa a borrar de forma remota un dispositivo perdido o robado y el derecho a evitar que los dispositivos móviles con aplicaciones inaceptables accedan a la red corporativa.

Las empresas deberían tener implementadas políticas de control de acceso, pero es posible que necesiten ser actualizadas para incluir el uso de dispositivos personales. En particular, la política de control de acceso debería abordar no sólo quién puede acceder a determinadas aplicaciones y datos, sino también qué dispositivos se pueden utilizar para hacerlo.

¿Qué tecnologías puede implementar TI para hacer cumplir y complementar estas políticas de seguridad de datos móviles y cumplimiento de normativas?

Varias tecnologías pueden ayudar, incluyendo los sistemas MDM con aplicaciones DLP.

Los sistemas MDM ofrecen varias funciones para ayudar con la seguridad de datos móviles, incluyendo el inventario de dispositivos móviles, la configuración remota, el aislamiento de datos en el dispositivo móvil, la limpieza remota y la detección y reparación de aplicaciones y software bandido (rogue app). Los sistemas DLP se concentran en la protección de datos mediante el cifrado y el control de contenidos. Con la implementación de una solución DLP, una empresa puede bloquear los intentos de un empleado para enviar información confidencial a través de una cuenta de correo electrónico personal y obligar al uso del cifrado en dispositivos personales.

Las tecnologías MDM y DLP pueden ayudar a la implementación de políticas y a su supervisión. A medida que el mercado para estas soluciones madura, es probable que converjan. El consumismo de IT exige a las empresas extender el alcance de las políticas y procedimientos para proteger los datos del negocio donde quiera que vayan, ya sea a los dispositivos de propiedad privada o a los servicios personales en la nube.

Este artículo se actualizó por última vez en noviembre 2012

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Protección de datos empresariales: Guía Esencial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close