Una de las principales causas de fugas de datos en las empresas es una negligencia, o un fallo interno por parte de un trabajador que se suele deber a una escasa preparación en cuanto a cómo son los ciberataques y cómo es posible defenderse de ellos. De hecho, la preparación de los empleados en temas de seguridad es más importante que el uso de las mejores técnicas de defensa, o la contratación del mejor proveedor de cloud posible.

Por poner algo de equidistancia en este tema, una empresa necesita invertir en seguridad para proteger sus activos, sus datos y su negocio. Invertir en seguridad no se refiere tan solo a adquirir equipos, contratar proveedores de servicios en la nube o contratar personal especializado en ciberseguridad, sino que también incluye a una de las partes más críticas de la empresa: el empleado y su formación.

Seguridad

 

Porque invertir en seguridad, implementar buenas políticas y disponer de medios lo más actualizados posible para mantener seguros los datos es esencial, pero si el último eslabón de la cadena no cumple con los protocolos, se salta alguna directiva o, simplemente, desconoce las buenas prácticas en seguridad todo habrá sido en vano.

El trabajador se ha convertido para muchas empresas en el mayor riesgo para su propia seguridad, y en el fondo todo se basa en falta de entrenamiento y formación. Nadie supone que un trabajador sea un problema de seguridad por voluntad propia (aunque esto también ha de ser tenido en cuenta por el departamento de TI, como veremos más adelante).

La formación de los empleados en temas tan básicos como no revelar información confidencial (datos de identificación o cualquier tipo de credencial de seguridad, como una contraseña) a terceros, ya sea por email o por teléfono es crítica. Esta es una de las recomendaciones más básicas ante casos de phishing en el ámbito personal, y en el terreno debería formar parte de las políticas básicas de seguridad.

Pongamos otros ejemplos: se puede incluir una norma que diga que jamás, ningún empleado debe facilitar por escrito un conjunto dado de datos sensibles; establecer un procedimiento que indique los pasos a seguir para enviar un archivo adjunto por email; definir cómo se tratan los datos almacenados en dispositivos portátiles que, por su propia naturaleza portátil, pueden ser sustraídos o extraviados; establecer las políticas de seguridad con respecto a la nube…

Existen muchas maneras de implementar políticas de seguridad para proteger a los datos de usos indebidos por parte de los trabajadores. Todas ellas pasan por detallar de la manera más precisa posible las categorías de dichos datos de manera que empleados y directivos sepan exactamente qué tratamiento deben recibir (por ejemplo, datos confidenciales, datos que deben enviarse internamente, datos generales o datos que se pueden enviar fuera de la compañía).

9 puntos clave que debería cubrir una buena política de seguridad en el uso de los datos

  1. Garantizar la responsabilidad de seguridad de datos: como hemos visto, clasificar los datos en categorías ayuda a establecer políticas de uso correctas y responsables.
  2. Políticas que gobiernan los servicios de red: definirá cómo se gestionan las conexiones, accesos remotos; incluirá la seguridad de routers y switches; definirá cómo detectar intrusiones y cómo gestionarlas.
  3. Búsqueda de vulnerabilidades: es importante mantener una política de búsqueda periódica de vulnerabilidades y agujeros de seguridad antes de que lo hagan los ciberdelincuentes.
  4. Administración de parches de seguridad: un elemento clave en cualquier política de seguridad es determinar cómo y cuándo se realizarán actualizaciones de seguridad en el software.
  5. Políticas de seguridad de datos del sistema: esta es la parte clásica de la seguridad, puesto que se refiere a la gestión de cuentas y contraseñas; firewall, antivirus, seguridad de las bases de datos, seguridad a nivel de servidor…
  6. Respuesta ante incidentes: cómo se evalúan y se informa de los incidentes, contramedidas a aplicar, etc.
  7. Usos aceptables: los usuarios deben saber con exactitud qué son los usos aceptables de los datos y las aplicaciones.
  8. Supervisión del cumplimiento de las políticas de seguridad: hay que prever auditorías internas de seguridad, periódicas, para comprobar el nivel de adopción de las diferentes políticas establecidas.
  9. Control y monitorización de cuentas: es necesario controlar los accesos y usos de cuentas en prevención de usos indebidos, ya sean inadvertidos (ataques que se inician desde cuentas inactivas y poco protegidas, o con contraseñas débiles) o premeditados (un empleado descontento que quiera hacer daño a la empresa).

 

Deja tu comentario sobre "¿Cómo garantizar la seguridad de los datos de una empresa en el cloud?"

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.


Presto mi consentimiento para que, de acuerdo a la normativa europea de protección de datos, T-Systems ITC Iberia S.A.U trate mis datos personales con la finalidad de identificar al autor del comentario previo. Estos datos se pueden ceder a las empresas del grupo Deutsche Telekom AG. No está prevista la realización de transferencias a terceros. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos solicitándolo por escrito a: T-Systems ITC Iberia SAU, Carrer Pere IV, 313. 08020 Barcelona, o a través de correo electrónico a FMB.TS-IB-PROTEC-DATOS-PERSONALES@t-systems.com. A su vez, puede dirigir cualquier consulta al Delegado de Protección de Datos a la dirección indicada anteriormente con la finalidad de identificar el autor del comentario previo y gestionar su consulta si fuera el caso.