Protección de datos empresariales: la guía definitiva

En las encuestas, las empresas suelen nombrar la protección de datos como una prioridad no negociable; desafortunadamente, existe una desconexión frecuente entre las palabras y las acciones. La protección de datos se considera una idea de última hora entre muchos de los profesionales de TI responsables de la seguridad de los datos en organizaciones de nivel empresarial que admiten tener problemas.

A medida que una empresa crece, se comienzan a crear, administrar y almacenar grandes grupos de datos que es necesario proteger. Dado que la seguridad es una parte cada vez más importante de la estructura de TI de las empresas, se debe incorporar desde el principio.

Una fuga de datos es un asunto complicado que cuesta tiempo y dinero. También puede dañar la reputación de la empresa. El hecho es que ninguna empresa, grande o pequeña, es inmune a la piratería. Además, cuanto más grandes sean los datos, mayores serán los desafíos que enfrentará el sistema de seguridad.

No puede esperar a crecer para comenzar a preocuparse por la protección y la seguridad de los datos, ya que la seguridad de nivel empresarial es una cuestión totalmente diferente.

¿Qué son los datos empresariales?

La protección de datos empresariales hace referencia a los datos compartidos por todos los usuarios de una organización, generalmente en diversos departamentos o regiones geográficas. Es un componente de activo clave que se subdivide en categorías internas y externas clasificadas de acuerdo con los recursos, los procesos y los estándares de la organización. Como la pérdida de datos es real y puede resultar en pérdidas financieras significativas, las empresas gastan recursos (y tiempo) en opciones de modelado de datos, soluciones, almacenamiento y seguridad eficaces y cuidadosas.

No existe una métrica precisa para lo que define los datos empresariales en las pequeñas o medianas empresas. Sin embargo, una vez que una organización llega a un punto en el que tiene numerosas unidades operativas en diferentes ubicaciones, sus necesidades ciertamente se vuelven complicadas en comparación con las de una empresa en una sola ubicación con un solo departamento de TI.

Las características de los datos empresariales incluyen lo siguiente:

• Seguridad: los datos deben protegerse mediante un acceso controlado y autorizado.


• Integración: garantiza la existencia de una única versión de datos coherente para compartir con toda la organización.


• Calidad: para garantizar la calidad, los datos deben seguir los estándares identificados para los distintos componentes de datos internos y externos.


• Redundancia, errores y disparidad minimizados: como todos los usuarios comparten los datos, es necesario minimizar la disparidad y la redundancia de datos. De allí la necesidad de usar opciones de modelado de datos y estrategias de administración.


• Escalabilidad: los datos deben ser escalables, robustos y flexibles para cumplir con los diferentes requisitos empresariales.

¿Qué es la protección de datos empresariales?

La protección de datos empresariales se refiere al proceso de entrega, administración y supervisión de la seguridad en todos los objetos y repositorios de datos de una organización. Es un término amplio que incluye varias herramientas, políticas, técnicas y marcos para garantizar la seguridad de los datos, independientemente de la ubicación donde se consuman o se almacenen dentro de la organización.

La protección de datos empresariales implementa y administra principalmente prácticas y estándares de seguridad de datos en una organización. Según la utilización y la importancia crítica de los datos, sus estándares y procedimientos pueden variar. Por ejemplo, es posible proteger datos altamente confidenciales mediante la autenticación multifactor, el acceso limitado y los procedimientos de cifrado.

La protección de datos generalmente permite proteger a la organización contra la pérdida de datos, así como garantizar la seguridad en todos los dispositivos que utilizan datos. Se entrega mediante tecnologías comunes de seguridad de la información, como antivirus y firewalls, junto con políticas y estándares de seguridad de datos para gobernar y administrar todo el proceso.

Seguridad de nivel empresarial

Una pequeña empresa puede comprar un sistema de seguridad perimetral simple como protección contra software malicioso, virus y otros ataques más precisos. Pero a medida que la empresa se expande, también lo hacen los desafíos que plantea la protección de datos.

Las organizaciones de nivel empresarial tratan con múltiples servicios y productos, donde la información fluye entre departamentos o incluso entre ubicaciones geográficas. Es necesario asegurarse que el personal obtenga la información requerida para realizar negocios, de la manera más simple posible, mientras se bloquea a los piratas informáticos y otros ejecutores maliciosos.

Sin embargo, este concepto simple puede volverse desesperadamente complejo en la ejecución. Incluso un simple problema, como una serie de aplicaciones de Windows obsoletas en diferentes máquinas de una organización, puede causar un campo minado de problemas, lo que puede producir una desaceleración y costar dinero al tomar un monto desproporcionado del presupuesto de seguridad de TI. Por lo tanto, la protección de datos es cuestión tanto de software como de estrategia.

Estrategia de protección de datos empresariales

1. Realizar una auditoría

Antes de embarcarse en cualquier nuevo enfoque de protección de datos, primero debe realizar una auditoría exhaustiva de sus sistemas de seguridad para encontrar vulnerabilidades antes de adoptar un enfoque de hoja en blanco para el acceso a su base de datos, las estaciones de trabajo y más. Tenga en cuenta que el cifrado moderno es eficaz, así que asegúrese de que todos sus datos se cifren lo antes posible en el ciclo.

También puede observar los cambios estructurales y físicos en sus bases de datos, sistemas de almacenamiento de datos y estaciones de trabajo para asegurarse de que la seguridad esté integrada en su sistema en todo momento. Incluso los aspectos minuciosos, como la antigüedad de los equipos o el diseño físico de la oficina, pueden afectar su plan de protección de datos y su presupuesto.

La protección contra virus y malware con la capacidad de paralizar los principales sistemas operativos debe ser una parte esencial de su estrategia. Una defensa sólida contra virus y malware es normalmente un subproducto de la estrategia de seguridad, pero no debe ser el único objetivo de su trabajo. Cuando los sistemas se implementan correctamente desde el inicio, estos supervillanos de alto perfil no se apoderan de los sistemas en primer lugar.

También es necesario encontrar un equilibrio entre proteger la información esencial dentro de los sistemas y no estorbar a los trabajadores. Si se excede con las medidas de seguridad, ralentizará a toda su fuerza laboral y aumentará los costos de la empresa al final.

2. Clasificar datos confidenciales

Debe clasificar todos sus datos para alcanzar privacidad. Aquí, debe determinar los diferentes niveles de confidencialidad de los datos, identificar y luego clasificar los datos confidenciales, determinar la ubicación de los datos confidenciales y, finalmente, establecer los niveles de acceso a los datos.

3. Definir una política de seguridad

Una vez identificados y clasificados todos los datos, el siguiente paso es desarrollar una política de seguridad que convierta sus expectativas empresariales en objetivos sostenibles. A continuación, se indican los componentes esenciales de una política de seguridad integral:

• Determine un nivel de amenaza aceptable. Recuerde que, para un entorno seguro en general, debe cifrar sus datos al principio de su ciclo de vida.


• Desarrolle una política de autorización y autenticación. Esta debe aprovechar las prácticas recomendadas y la información histórica para determinar qué procesos, aplicaciones y usuarios tienen acceso a la información confidencial.

4. Determinar un modo de implementación de la privacidad de datos

Puede implementar una solución de privacidad de datos como múltiples articulaciones dentro de la empresa. La selección del punto de implementación dictará el trabajo a realizar y afectará en gran medida el modelo de seguridad general. Los niveles de nodo de cifrado incluyen:

• Nivel de red: garantiza una implementación segura de la solución de privacidad de datos y garantiza que todos los datos estén protegidos en todos los puntos dentro de la empresa.


• Nivel de aplicación: permite cifrar selectivamente los datos granulares dentro de la lógica de la aplicación. Proporciona un marco de seguridad sólido y permite aprovechar las API criptográficas de aplicaciones estándar. Esta solución es adecuada para elementos de datos como tarjetas de crédito, registros médicos críticos o direcciones de correo electrónico.


• Nivel de base de datos: protege los datos a medida que se leen y se escriben en una base de datos. Esta implementación generalmente se realiza dentro del nivel de columna de una tabla de base de datos. Cuando se combina con la seguridad y los controles de acceso a la base de datos, es posible evitar el robo de datos críticos.


• Nivel de almacenamiento: permite cifrar los datos durante el subsistema de almacenamiento. Esto puede ser en el nivel de bloque (SAN) o de archivo (NAS/DAS). Esta solución es adecuada para cifrar archivos, bloques de almacenamiento, directorios y soportes de cinta.

5. Desarrollar una estrategia de seguridad

Debe enfocarse en una estrategia clara con las mejores herramientas posibles para obtener la máxima seguridad de una manera optimizada. Ante todo, debe otorgar a su personal un acceso eficiente a los datos y sistemas de uso crítico y, al mismo tiempo, garantizar la imposibilidad de acceder para los piratas informáticos y los ejecutores no autorizados. Si su equipo debe superar obstáculos cada vez que desea acceder a los datos, corre el riesgo de reducir la productividad general y, por lo tanto, debe cambiar su estrategia.

Sin embargo, la protección de datos va más allá de la facilidad de acceso y el bloqueo de los piratas informáticos. También debe hacer un respaldo de sus bases de datos para evitar la pérdida de datos en caso de desastres como ransomware. Los respaldos deben ser de acceso inmediato, pero deben estar plenamente protegidas contra piratas informáticos.

Además, es necesario contar con una función de restauración disponible al instante, algo que lamentablemente muchas empresas no tienen. Con una versión limpia y protegida de forma segura de las bases de datos y un sitio web que se actualice con regularidad, ningún tipo de ataque lo podrá retener por mucho tiempo.

Un sistema de software eficiente con la capacidad de bloquear ciertos sistemas para protegerlos de ataques externos es el factor diferenciador entre una empresa que lucha durante horas para volver a controlar sus sistemas y una que se recupera en cuestión de minutos después de un ataque.

Al considerar una solución de protección y privacidad de datos, existen opciones claras con respecto a los modos de implementación. Estas opciones varían en lo que respecta a los modelos de seguridad, pero cada una proporciona un nivel de protección que se alinea con los requisitos potenciales de la empresa. Las opciones para considerar aquí incluyen la administración segura de claves, la administración de dispositivos móviles, las operaciones de cifrado, los respaldos y la recuperación, el registro, la auditoría y el hardware, así como la autenticación y la autorización.

Para reducir los gastos de TI, debe aprovechar los estándares tecnológicos existentes para garantizar la seguridad, la escalabilidad, el rendimiento, la compatibilidad y la interoperabilidad de su estrategia general. Además, al aprovechar la tecnología existente (cuando corresponda), puede implementar de manera eficaz y rápida una estrategia de privacidad de datos completa.

6. Proteger todos los proyectos de la empresa

Necesita crear seguridad en cada proyecto que lleve a cabo. Asegúrese siempre de que todos sus datos internos y los datos de los clientes permanezcan a salvo de fuerzas externas malintencionadas. No tome la seguridad como una adición complementaria, trátela como un requisito central que es tan importante para todos sus proyectos como el retorno de la inversión (return on investment, ROI).

Busque una herramienta de protección de datos adecuada que pueda agilizar el proceso y garantizar que la protección de los datos de su empresa sea un proceso intuitivo. Con el cumplimiento incorporado en cada faceta del proceso, un cifrado completo de extremo a extremo y otras opciones personalizadas, una herramienta de protección adecuada puede tomar una solución de seguridad caduca y convertirla en un activo importante para su empresa.

7. Permanecer al tanto del cumplimiento legal

Cuando se trata de datos del consumidor, existen requisitos legales que se deben seguir, y el cumplimiento no es opcional. De hecho, puede ser un trabajo de tiempo completo, especialmente en la industria de los servicios financieros. Estas industrias requieren un modelo de referencia en términos de protección de datos, seguridad y responsabilidad. Aquí no solo necesita adoptar las prácticas recomendadas de seguridad, sino que también necesita demostrarlas.

La responsabilidad y el cumplimiento claro deben estar integrados en los sistemas de seguridad internos, así como en cualquier proveedor externo que contrate o en el software que adopte para mantener a raya a los reguladores mientras protege su información vital.

La era actual “Traiga su propio dispositivo” (BYOD, Bring Your Own Device) aumenta los problemas y las posibles vulnerabilidades de seguridad, ya que una gran cantidad de dispositivos diferentes pueden conectarse a sus sistemas a diario. Muchos de estos dispositivos no tienen una protección de seguridad adecuada, por lo que los virus y el software malicioso acechan sus sistemas operativos. Esto puede ser una pesadilla de seguridad para su empresa.

8. Recordar la nube

Dado que la informática en la nube es un furor hoy en día, una parte esencial de su proceso claramente debe ser limitar la información a la que ciertas personas y dispositivos pueden acceder de forma remota. La nube agrega otra capa de complicación, ya que el plan de protección de datos empresariales debe considerar primero todos los dispositivos que se conectan al sistema antes de permitir el acceso de inicio de sesión.

Un solo acceso no autorizado puede significar una masacre para su sistema, pero todos los demás (los usuarios autorizados) deben conectarse sin problemas. Por lo tanto, si su seguridad no se ejecuta del núcleo al borde y no tiene el cifrado de extremo a extremo adecuado en sus redes, bases de datos, usuarios finales y aplicaciones, el sistema presentará puntos débiles. Los ejecutores maliciosos determinados los encontrarán.

Al planificar su estrategia de protección y seguridad de datos, debe incorporar capas de cifrado que se adapten a su estructura operativa. Además, las políticas de acceso definidas por el cliente, las capacidades nativas de respaldo y restauración, el registro de eventos, las contraseñas y el cifrado de unidades empresariales de alto nivel deben formar parte de su sistema.

Soluciones de protección de datos empresariales

Como se indicó anteriormente, la evolución de la tecnología y la interconectividad de los dispositivos inteligentes han dado lugar a muchas regulaciones y requisitos de privacidad, como el Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation) de la Unión Europea que entró en vigor en 2018.

Las estrategias modernas de protección de datos para el almacenamiento primario implican el uso de sistemas integrados que complementan o reemplazan los respaldos para brindar protección contra problemas potenciales como errores en los soportes, daños en los datos, errores en el sistema de almacenamiento, fallas totales en el centro de datos o fugas de datos.

1. Duplicación sincrónica: este enfoque se utiliza para defenderse contra errores en los soportes. Permite escribir datos tanto en un disco local como en un sitio remoto, lo que garantiza que los dos sitios sean idénticos. Requiere una sobrecarga de capacidad del 100 por ciento.


2. RAID: esta es una alternativa a la duplicación sincrónica donde las unidades físicas en las instalaciones se combinan en una unidad lógica que luego se presenta al sistema operativo como una sola unidad. Por lo tanto, los mismos datos se pueden almacenar en diferentes lugares y en varios discos.


3. Codificación de borrado: esta alternativa a RAID avanzado se utiliza principalmente en los entornos de almacenamiento con escalamiento horizontal. Utiliza sistemas de protección de datos basados en la paridad para escribir tanto la paridad como los datos en un clúster de nodos de almacenamiento.


4. Replicación: esta es otra solución de escalamiento horizontal que permite duplicar los datos en múltiples nodos o de un nodo a otro.


5. Instantáneas: se utilizan para realizar correcciones cuando los datos se eliminan o se dañan por accidente.


6. Replicación de instantáneas: protege contra múltiples errores de unidad. Permite copiar los bloques de datos modificados del almacenamiento principal a un almacenamiento secundario externo.


7. Servicios basados en la nube: los servicios de replicación y respaldo en la nube se pueden utilizar para almacenar copias recientes de datos que se necesitarán en caso de un desastre importante o para crear instancias de imágenes de las aplicaciones.


8. Pruebas de aplicaciones para la protección de datos: tradicionalmente, los planes de protección de datos han incluido tecnologías como opciones de cifrado, herramientas de prevención de pérdida de datos (DLP, Data Loss Prevention), soluciones de respaldo y recuperación, administración de identidades y accesos, y más. Sin embargo, como las aplicaciones siguen siendo el principal objetivo de las personas maliciosas, es esencial agregar pruebas de seguridad a los protocolos de protección de datos.

Las pruebas de aplicaciones promueven la protección de datos al identificar y erradicar todas las debilidades de software que puedan ocasionar infracciones graves. El equipo de TI o los desarrolladores de aplicaciones pueden ayudar a alcanzar la protección de datos fácilmente mediante pruebas para garantizar que los microservicios, las aplicaciones móviles, web y de escritorio estén libres de vulnerabilidades o defectos.

Funciones de la protección de datos empresariales

Antes de aceptar una solución de protección de datos, busque las siguientes funciones de protección de datos:

1. Tecnología de respaldo incremental: permite realizar solo un respaldo completo y luego realizar respaldos incrementales en lo subsiguiente y para siempre.


2. Recuperación instantánea: el objetivo de un respaldo es la recuperación. Busque tecnologías que permitan restaurar datos instantáneamente a partir de respaldos tanto en la nube como de forma local.


3. Nube: puede permitir una retención a largo plazo, pruebas de aplicaciones o incluso la recuperación después de un desastre.


4. Integración profunda de aplicaciones: garantiza el acceso instantáneo a todos los datos que se desean proteger sin ningún proceso ni comprobación de coherencia engorrosa que demore el acceso a los datos.


5. Organización: las herramientas avanzadas de organización permiten automatizar todo el proceso de recuperación (incluida la recuperación después de un desastre).

Conclusión

La protección de datos empresariales es una de las tareas más importantes para los equipos de TI de organizaciones grandes y pequeñas. Las empresas actuales dependen de los datos más que nunca, por lo que la protección contra pérdida, robo y daño es fundamental para el éxito.

Debido al aumento de las fugas de datos, las empresas deben permanecer alertas para proteger sus activos. La incapacidad de estar un paso adelante de las amenazas de datos genera infracciones, deterioro de la reputación y pérdidas financieras. Las empresas se han centrado, durante años, solo en la seguridad perimetral para detener las amenazas de datos. Sin embargo, con casi la mitad de las fugas de datos actuales perpetuadas internamente, estas defensas perimetrales tradicionales no son suficientes para proteger los datos.

Es necesario ampliar la infraestructura de datos de la empresa a todas las unidades de negocio, departamentos, socios, clientes, proveedores y una fuerza de trabajo móvil en crecimiento. Esto ha difuminado las líneas divisorias entre los de afuera y los de adentro. Por lo tanto, debe adoptar una estrategia sólida de protección de datos empresariales para proteger eficazmente a su empresa desde el núcleo hasta el borde. También necesita implementar una solución de cifrado de extremo a extremo adecuada en sus redes, aplicaciones, bases de datos y dispositivos endpoint para garantizar que los datos permanezcan seguros siempre: ya sea en reposo, en uso o en movimiento.

Fuente: www.veritas.com