La protección de datos mediante cifrado, considerado uno de los controles de seguridad más reconocidos y aplicados en la actualidad, sigue siendo un reto importante para las empresas. Según la empresa estadounidense Vera Security, sólo el 4% de las violaciones de datos se consideran “seguras”, ya que el cifrado inutiliza los archivos robados.
Por lo general, el cifrado se adquiere e implanta con fines relacionados con el cumplimiento de los requisitos. En otras palabras, no suele estar alineada para hacer frente a los riesgos de seguridad del mundo real, como el robo de datos y los excesos accidentales de los empleados.
De hecho, aplicar eficazmente la tecnología de cifrado es uno de los principales retos a los que se enfrentan las organizaciones para lograr un rendimiento satisfactorio en la protección de datos.
Para hacerse una idea de la situación, los datos presentados en una encuesta realizada por Vera Security muestran que el 61% de los encuestados cree que el cumplimiento de las normativas impulsa la necesidad de cifrado, no la protección de los datos de los usuarios.
Esto aumenta aún más la desconexión entre encriptación y seguridad.
El informe también cita los despliegues de cifrado orientados al perímetro como una de las principales razones por las que las inversiones en protección de datos cifrados de las organizaciones no están alineadas con la forma en que los empleados y socios comerciales utilizan realmente los datos críticos.
El reto de proteger los datos con cifrado durante todo el ciclo de vida de la empresa
Para los profesionales especializados en seguridad, privacidad y riesgos, la velocidad y la escala con que los datos se mueven hoy en día a través de las organizaciones y sus socios son los factores que más aumentan la necesidad de protección de datos.
Especialmente en el entorno colaborativo actual posterior a la nube, las organizaciones deben invertir en la protección de datos con cifrado durante todo el ciclo de vida empresarial.
El enfoque principal consiste en utilizar la seguridad de archivos con cifrado permanente para proteger los datos durante su vida útil. Así se garantiza el cumplimiento de la legislación y la normativa vigentes. Esta estrategia pretende ofrecer un cifrado potente, un control de acceso en tiempo real y una gestión de políticas definida.
Otra conclusión importante del informe es que casi dos tercios de los entrevistados dependen de sus empleados para seguir las políticas de seguridad. Sólo así se garantiza la protección de los archivos distribuidos.
Sin embargo, al 69% le preocupa mucho la falta de control sobre los documentos enviados fuera de la red o en los que se colabora en la nube. Por último, sólo el 26% tiene capacidad para localizar y revocar el acceso rápidamente.
La encuesta también muestra que sólo el 35% de los encuestados incorpora la protección de datos con cifrado a los procesos de seguridad en general. Mientras tanto, otros citan las dificultades para implantar correctamente la tecnología como motivo de su escasa priorización en la organización.
Una de las principales conclusiones de la investigación es que el cifrado no se considera una “victoria fácil”. También se considera difícil de aplicar y utilizar.
Recomendaciones para dar la vuelta a la tortilla con la criptografía
A pesar de las dificultades para adoptar la protección de datos con cifrado en las empresas, cabe señalar que existen tecnologías de seguridad centradas en los datos que pueden proporcionar seguimiento y control de acceso en tiempo real sin molestar al usuario final. Las recomendaciones son las siguientes:
1. Los equipos informáticos y empresariales deben seguir el flujo de trabajo de la empresa para encontrar lagunas de seguridad
De este modo, estos equipos podrán encontrar exposiciones de datos ocultas. También hay que tener en cuenta que, por lo general, los mecanismos de cifrado son incapaces de seguir el ritmo de los datos y de las nuevas funciones de los usuarios.
Por lo tanto, las organizaciones deben estudiar cómo utilizan realmente los empleados la información sensible para identificar las áreas a las que no llega la protección de datos con cifrado o se desactiva por necesidad.
Sin embargo, un equipo que conozca los datos sensibles de la organización puede ayudar a trazar un mapa para que los informáticos puedan aplicar correctamente el cifrado. Por eso el equipo empresarial debe ser un equipo multidisciplinar en el que participen diversas áreas de la empresa.
|
2. Invertir en prevención de ataques
Las organizaciones deben evitar el pensamiento reactivo ante los incidentes (“acciones a tomar sólo después del ataque”). Después de todo, en la mayoría de las organizaciones, los empleados bienintencionados cometen errores que superan a las amenazas malintencionadas.
Por este motivo, se aconseja a las empresas que garanticen una visibilidad clara de sus procesos para ayudar a empleados y directivos a contener la exposición accidental de datos y aplicar sus políticas para evitar el robo de datos y la pérdida de privacidad.
La pregunta ahora es cuándo se filtrarán los datos de mi empresa. Teniendo esto en cuenta, queda más claro cómo definir una estrategia adecuada que evite un ataque y garantice que los datos permanezcan protegidos en caso de que se produzca.
3. Alinear la empresa, los socios y las tecnologías para proteger los datos con cifrado.
Las empresas necesitan alinear sus recursos tecnológicos -y esto incluye el cifrado- para hacer frente a la nube, las tecnologías móviles y terceros. La multiplicación de dispositivos móviles y socios comerciales presenta una gran variedad de nuevos lugares por los que deben viajar los datos.
Enrutar el acceso a estos datos a través de la nube y otros servicios centralizados ayuda a los responsables de TI, seguridad y empresa a restaurar la visibilidad y consolidar el control mediante la inclusión de estos datos en plataformas con cifrado incorporado y controles de acceso a los archivos.
La estrategia para afrontar el reto de la protección de datos con cifrado debe ser asertiva
Por último, las principales razones aducidas por los entrevistados en la encuesta para adoptar el cifrado fueron:
- Los datos no se toman suficientemente en serio (40%);
- La aplicación de una política de cifrado de todos los datos se considera muy difícil (18%);
- No es fácil saber dónde se almacenan los datos (17%);
- No se han comprobado las aplicaciones internas para garantizar que los datos están protegidos de acuerdo con la política (13%);
- Los administradores no son capaces de configurar correctamente los controles de cifrado (12%).
Con este telón de fondo, podemos ver que tenemos un gran reto por delante. Las empresas no pueden dejar la carga de la seguridad de los datos únicamente en manos de los equipos informáticos.
En su lugar, deben concienciar, aplicar y probar adecuadamente una estrategia asertiva de protección de datos con cifrado.
Y para estos objetivos de seguridad, invertir en tecnología es esencial.
A la hora de planificar las necesidades de codificación, trace los flujos de información entre todas las aplicaciones y las tablas que almacenan la información pertinente. A continuación, aplica la protección de datos con cifrado para su almacenamiento y transmisión. Y no olvides tampoco el control de acceso a los datos.
Por último, para proteger aún más los datos de la organización, tenga cuidado con los documentos o aplicaciones compartidos entre usuarios. Son fáciles de acceder y compartir, pero pueden poner en peligro la información confidencial.
Los controles de acceso basados en el cifrado garantizan de nuevo que sólo los usuarios autorizados puedan acceder a determinados datos. Siga y supervise el uso de los datos para asegurarse de que los controles de acceso son eficaces.
Lea más sobre protección de datos y privacidad en nuestro blog y descubra cómo aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de Eval.
Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.