Muchas empresas están dejando que la exposición de datos sensibles afecte directamente a los archivos sensibles expuestos a la mayoría de los empleados, sin un control de acceso adecuado, además de mantener inactivas las cuentas de usuario y no cambiar las contraseñas con regularidad.
Esta información fue revelada en el informe Data Gets Personal: 2019 Global Data Risk Report realizado por Varonis Data Lab en diferentes países, entre ellos Brasil.
Al centrarse en mantener a raya a los ciberdelincuentes, muchas empresas han prestado poca o ninguna atención a la exposición de datos sensibles. Al fin y al cabo, en muchos casos, la información y las carpetas importantes son de libre acceso para todos los empleados y no están vigiladas.
Es un poco como tener varias formas de evitar que entren a robar en casa, pero dejar una caja fuerte llena y abierta en medio del salón. Si alguien aprueba, “recibirá un regalo”.
Las empresas tendrán que analizar estos problemas, porque no se trata sólo de seguridad. Al fin y al cabo, además de los riesgos en este sentido, con la LGPD a punto de entrar en vigor, este tipo de casos podría acarrear multas por incumplimiento.
Pero profundizaremos en este tema más adelante.
Alta exposición de datos sensibles
El estudio analizó 54.000 millones de documentos de 785 empresas de 30 sectores y 30 países diferentes. Se descubrió que el 53% de las organizaciones analizadas tenían más de 1.000 archivos sensibles expuestos a todos los empleados.
Para que te hagas una idea, de media cada empleado tenía acceso a 17 millones de archivos.
No se trata sólo de archivos, sino que las carpetas de documentos también se exponen mucho. El 51% de las empresas analizadas tenía más de 100.000 carpetas abiertas a todos los empleados.
Más allá de las cifras
Los datos sensibles a los que pueden acceder muchos (o todos) los empleados representan un alto riesgo para las empresas. Los ciberdelincuentes intentan acceder a la información confidencial de las empresas de diversas formas.
Si, por ejemplo, un empleado es víctima de phishing, la empresa podría sufrir graves daños al quedar expuestos los datos confidenciales de la organización. Incluso hemos informado recientemente de casos de phishing que causaron grandes daños.
Estos problemas no son difíciles de resolver. Gestione de forma sencilla el acceso a archivos y carpetas, especialmente los que contienen datos como información confidencial sobre empleados, clientes, socios y proyectos.
Además, el uso de la criptografía, junto con una buena gestión de las claves criptográficas, es muy importante para mantener la seguridad de la información.
De este modo, si algo se filtra, quien se haga con el archivo no podrá acceder a los datos que contiene.
Usuarios inactivos que no se desconectan y contraseñas que no cambian
Otra conclusión del estudio es que las cuentas de usuario inactivas no se eliminan. El 58% de las empresas encontraron cuentas con más de 1.000 usuarios inactivos.
En general, se trata de personas que han abandonado la empresa por algún motivo, pero cuyo acceso a ordenadores y sistemas sigue existiendo. Además, más de un tercio de los empleados tenían contraseñas que no caducaban nunca.
Esto hay que agradecérselo a los ciberdelincuentes. Aunque busquen datos valiosos, necesitan una forma de llegar a esa información y las cuentas que no se utilizan se convierten en una buena opción para el pirateo.
Las contraseñas que no cambian son más fáciles de descifrar por fuerza bruta y, cuando esto ocurre, estas cuentas se convierten en una excelente puerta de entrada durante mucho tiempo.
|
|
La información sensible trabaja horas extras cuando los datos sensibles están expuestos
Por lo general, los datos sensibles almacenados por una empresa son necesarios durante un determinado periodo de tiempo para cumplir requisitos de uso o cuestiones legales, pero después deben eliminarse.
Es como desechar una tarjeta de crédito cuando caduca. Cuando ya no se necesitan datos importantes, no hay razón para seguir almacenándolos.
Mantenerlos es correr un riesgo innecesario.
Sin embargo, el 72% de las carpetas de archivos analizadas contenían información antigua que debería haberse eliminado. Es más, el 53% de los datos totales eran antiguos y ya no deberían estar en posesión de la empresa.
Si añadimos estas conclusiones al hecho de que la mayoría de las empresas trabajaban con permisos para más carpetas de las que pueden gestionar y, por utilizar una expresión popular, tenemos un escenario con mucha información importante por ahí.
Cumplimiento y LGPD
El informe menciona que “los datos altamente expuestos representan un riesgo importante para las organizaciones, independientemente de su tamaño, área o ubicación”.
Aparte de las principales leyes sobre el uso de datos confidenciales y sensibles, como el GDPR y la LGPD, esta exposición generalizada de información sensible puede acarrear problemas legales a las empresas a través de otras legislaciones.
Pero aquí en Brasil, con la Ley General de Protección de Datos llamando a la puerta, es importante que las empresas busquen su cumplimiento para no verse afectadas negativamente en breve.
La LGPD tiene apartados claros sobre anonimización de datos, así como sobre responsabilidad y registro de acceso, pero aquí destacamos el artículo 46.
Establece que “los encargados del tratamiento deberán adoptar las medidas de seguridad, técnicas y administrativas, necesarias para la protección de los datos de carácter personal contra el acceso no autorizado, la destrucción, pérdida, alteración, comunicación accidental o ilícita o cualquier otra forma de tratamiento inadecuado o ilícito”.
En resumen, no cualquiera puede tener acceso e incluso hay que tener cuidado con las “situaciones accidentales”.
Hay que avanzar en el reto de la exposición de datos sensibles
El estudio también reveló que sólo el 5% de las carpetas estaban protegidas. Así pues, queda un importante camino por recorrer.
En casos como los mencionados en este artículo, es necesario cambiar la cultura relativa al almacenamiento de datos y las medidas de seguridad.
No puede quedarse atrás ante los ciberdelincuentes ni incumplir la ley.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
