Getty Images/iStockphoto

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Proteger los datos no es una opción, es una obligación

En la era de los datos, mantenerlos limpios, completos y seguros se vuelve, más que nunca, en una necesidad para las organizaciones que necesitan guardarlos por cumplimiento, pero especialmente para quienes quieren sacarles el mayor provecho.

No cabe duda de que la irrupción y masificación de las nuevas tecnologías ha impactado positivamente en los procesos y gestión de las compañías, mejorando su productividad y eficiencia. Sin embargo, esta transformación digital ha abierto un espacio de preocupación y debate: El manejo y protección de los datos empresariales.

Con la entrada en vigencia en la Unión Europea del Reglamento General de Protección de Datos (GDPR), el 24 de mayo de 2018, se ha puesto de manifiesto la necesidad de actualizar los reglamentos asociados en América Latina. Si bien en algunos países de nuestra región existían normas, reglamentos o leyes relativas a la protección de datos en forma previa, su entrada en vigor ha impulsado variadas reformas a dichos cuerpos legales. Países como Colombia, Argentina y Chile cuentan con legislaciones al respecto que están en proceso de ser actualizadas a través de proyectos de ley en trámite o próximos a tramitarse.

A nivel latinoamericano, estamos hablando de la ley No. 19.628 en Chile; la No. 25.326 en Argentina; la No 13.709 de Brasil; y la ley No. 1.581 de Colombia.

Cabe destacar que la regulación europea exige que las medidas que propone sean aplicables no solo dentro de sus fronteras, resguardando los datos de sus ciudadanos en cualquier parte del mundo, lo que afecta a las empresas latinoamericanas que realizan tratamiento de datos personales y que tienen presencia o relación con Europa.

Además, dependiendo de la actividad desarrollada por la empresa, existen regulaciones o directivas específicas que son aplicables a su operación. Por ejemplo, si la organización acepta transacciones con tarjetas de crédito, debe asegurarse de cumplir las directivas PCI (Payment Card Industry). Si son instituciones de salud, se debe proteger la información de pacientes médicos, siguiendo los lineamientos definidos por HIPAA (Health Insurance Portability and Accountability Act), que para el caso de Estados Unidos comprende el cumplimiento obligatorio.

En Chile, la protección de datos personales actualmente está regulada por la Ley Nº19.628, que data del año 1999, pero se encuentra en discusión una nueva ley que busca ponerlo a nivel de los países miembros de la OCDE e implica la creación de un nuevo organismo regulador, que se ha denominado Agencia de Protección de Datos Personales.

Francisco Hernández, MAKROS

Respecto de los avances y soluciones para la protección de datos en las organizaciones, Francisco Hernández, gerente de cuentas corporativas de Makros, indica que, a medida que las empresas adopten nuevas tecnologías, existirán nuevas tendencias para la protección de los datos. «Como ejemplo se puede citar CASB, que es uno de los avances tecnológicos en materia de protección de datos en la nube», dice.

Pablo Dubois, Century Link

En este sentido, Pablo Dubois, gerente de productos de seguridad de CenturyLink para América Latina, explica que: «La tecnología de las soluciones de seguridad sigue creciendo año a año, como también crece el poder computacional de los sistemas que estamos utilizando. Si a esto le sumamos el creciente uso de la inteligencia artificial, podemos lograr sistemas altamente autónomos que están brindando un gran poder de automatización. Esto logra una eficiencia en el uso de analistas de seguridad, un bien muy preciado en estos días, que pueden dedicarse realmente a la tarea de investigación y análisis donde antes la mayor parte de su tiempo era consumido por tareas puramente administrativas y rutinarias».

Respecto de la influencia que tienen las acciones de los empleados de una compañía en la seguridad de la información que manejan, Andrea Fernández, gerente general de Kaspersky para la región SOLA, destaca que el principal desafío en la protección de datos corporativos está en el comportamiento humano, de modo que vale la pena contar con herramientas que analicen las anomalías en el comportamiento de los usuarios como un vector más que monitorear en el sistema de protección.

Nicolás Silva, Asimov Consultores

Nicolás Silva, director de Tecnología de Asimov Consultores, advierte que existen tecnologías de encriptación de información «que permiten que la información solamente sea accesible por personas que tengan un nivel de autorización adecuada. La mayoría de los sistemas operativos de los computadores hoy vienen con esta tecnología incorporada en el sistema. Al habilitar esta tecnología, los discos no son accesibles si no se tiene la contraseña correspondiente. Esto permite tener un mínimo de seguridad en la protección de datos».

¿Qué se debe tomar en cuenta para asegurar la información?

Los expertos coinciden en que la mejor estrategia es aquella que combina tecnologías, políticas y el buen comportamiento humano.

Alberto Torrejón, SONDA

Dubois, de CenturyLink, resalta que la mejor estrategia en seguridad empresarial sigue siendo mediante una aproximación en capas. «No existe una sola solución que nos pueda proteger de todos los riesgos en seguridad. Básicamente, lo que tenemos que hacer es proteger toda la información que necesitemos con diferentes capas, que van desde soluciones basadas en la nube –desde donde tendremos gran visibilidad de lo que está sucediendo en internet–, pasando por capas medias, donde estamos hablando de soluciones de seguridad de equipos perimetrales, y llegando a las capas más internas donde hablamos de seguridad sobre una aplicación en especial o sobre un conjunto de datos críticos de la empresa. Hoy, uno de los activos más importantes de las empresas son los datos y a muchas de ellas aún les cuesta reconocer esto, y por ende nunca podrán asegurarlos correctamente hasta que no los puedan identificar, al igual que sucede con un activo físico», argumenta.

Respecto de las políticas, Silva, de Asimov Consultores, manifiesta que las medidas más importantes que se pueden tomar tienen que ver con las políticas de manejo de la información. «La filtración de información, la mayoría de las veces, tiene que ver más con errores y desprolijidades humanas, que con errores de software o hackeos. Por ejemplo, empleados de una empresa que manejan información privilegiada y luego la divulgan, información que queda accesible en lugares públicos, etc. Para evitar en alguna medida estos hechos, es recomendable educar y advertir los riesgos que tiene el mal manejo de la información dentro de la compañía», sostiene.

Andrea Fernández, Kaspersky

En este contexto, un estudio de Kaspersky reveló que el 48% de los incidentes de ciberseguridad al interior de las empresas son atribuidos directamente a negligencias del personal.

Por ello, y en cuanto al comportamiento de los empleados de una compañía, Fernández, de Kaspersky, advierte de que una situación de rutina que representa una vulnerabilidad importante para un entorno organizacional, tanto para grandes como para pequeñas y medianas empresas, es la configuración de la estación de trabajo.

«Normalmente, el empleado que utiliza un dispositivo perteneciente a la compañía puede acceder a los archivos de otros colaboradores, por lo que, si uno de ellos se infecta, toda la red podría comprometerse. Ante tal escenario, el primer paso es un cambio de mentalidad. Las compañías no pueden protegerse como si fueran usuarios domésticos, aun cuando sean empresas pequeñas, pues el daño de un posible ciberataque podría ser catastrófico para el negocio, independiente de su tamaño. Por ello, es recomendable que trabajen en educar a los colaboradores. Asegurarse que los empleados utilicen contraseñas sólidas y únicas que combinen símbolos, números y letras. Y en caso de que los colaboradores utilicen sus dispositivos personales para trabajar, la empresa debe preocuparse de que éstos mantengan resguardados los datos confidenciales», concluye.

Tips para proteger los datos empresariales

Alberto Torrejón, arquitecto y consultor en soluciones de ciberseguridad de SONDA, sugiere los siguientes pasos para cuidar los datos en las empresas:

  • El primer paso es tener claridad de las aplicaciones utilizadas por la organización, tanto locales como en la nube (AaaS).
  • En segundo lugar es necesario conocer los tipos de datos asociados a cada aplicación.
  • El tercer punto relevante se relaciona con la identificación de repositorios de datos en la red, no relacionados con aplicaciones centralizadas, donde múltiples usuarios puedan tener acceso a los mismos archivos.
  • La siguiente actividad corresponde a la categorización de los diferentes tipos de datos y qué tan importantes son para la organización, para los cibercriminales o para la competencia. Aquí se debe tener en cuenta que los datos normalmente pueden categorizarse como de acceso público, sensibles, confidenciales y ultrasecretos.
  • Por último, es recomendable buscar e identificar la existencia de copias de la información fuera de los sistemas primarios asignados para su almacenamiento.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close