Las mejores prácticas y tecnologías relacionadas con la prevención de la pérdida de datos (PPD) en los dispositivos móviles tienen como objetivo proteger los datos que salen de la seguridad de la red corporativa. Los datos pueden verse comprometidos o filtrados por diversas razones: Robo de dispositivos, compartición accidental por parte de un usuario autorizado o franco hurto a través de malware o apps maliciosas.
Los problemas asociados a la pérdida de datos móviles se han visto agravados por el aumento de empleados que traen sus propios dispositivos al trabajo, tengan o no permiso de TI. En una situación de “Bring your own Device” (BYOD), el usuario es el dueño del dispositivo, no la organización, y hace que la seguridad sea algo más difícil de establecer y mantener para el departamento de TI.
Como mínimo, cualquier dispositivo móvil que acceda o almacene información empresarial debe estar configurado para la identificación del usuario y la autenticación fuerte, debe ejecutar un software antimalware actual y debe utilizar enlaces de redes privadas virtuales (VPN) para acceder a la red corporativa.
Cada una de estas estrategias se analizará a continuación.
1. Copias de seguridad de datos: Mejor Prevenir que lamentar
No hace falta entrar en muchos detalles sobre el tema de las copias de seguridad de los datos. Sencillamente, son necesarias, deben realizarse con regularidad y los archivos de copia de seguridad resultantes deben probarse para garantizar que puedan recuperarse en caso necesario.
2. Educación de los usuarios: Cuanto más sepan, más seguros estarán sus datos
Educar a sus usuarios sobre los peligros de la fuga de datos es un proceso útil y valioso para la mayoría de los usuarios. Ya sea a través de la formación anual sobre seguridad, de seminarios con almuerzo o de un boletín mensual, enseñe a sus empleados sobre seguridad. Dígales qué es la información sensible y muéstreles su aspecto.
La mayoría de los empleados ayudarán a proteger los activos de una organización una vez que entiendan lo que constituye la información "confidencial". También deben entender las consecuencias para la organización si dicha información se hace pública: reputación dañada, espionaje corporativo, pérdida de ingresos, multas y sanciones reglamentarias, e incluso un riesgo para la seguridad personal de ciertos empleados. Comparta algunos casos reales de fuga de datos con los que se ha encontrado la organización (si es posible) y diseccione las violaciones de seguridad que han aparecido en los titulares.
3. Clasificación de datos: ¡Confidencial!
El uso cada vez mayor de dispositivos móviles para el trabajo, más que casi cualquier tecnología en los últimos años, ha puesto en primer plano la importancia de la clasificación de datos. La mayoría de las tecnologías de PPD móvil se basan en alguna forma de clasificación de datos para evitar la fuga de datos. Su organización debe empezar por crear una norma de clasificación de datos, si no existe ya una, y luego aplicar esa norma lo antes posible.
Dado que la información se presenta en muchas formas diferentes -documentos de procesamiento de textos, hojas de cálculo y correos electrónicos, así como marketing, operaciones comerciales generales, correspondencia ejecutiva y correos electrónicos de servicio al cliente-, puede resultar difícil clasificar cierta información. Además, ¿cómo se gestionan los documentos que han sido alterados para otros fines? ¿Qué pasa si partes de un documento clasificado como altamente sensible se utilizan en otra parte, por ejemplo? ¿Deben considerarse esas partes como altamente sensibles también, o requieren una ronda de revisión y, posiblemente, una reclasificación?
Tenga en cuenta que etiquetar los datos y clasificarlos son dos cosas diferentes. Una etiqueta identifica el nivel de protección requerido y suele ser una marca o comentario colocado en el propio documento o en los metadatos. Por ejemplo, puedes insertar la palabra "Confidencial" en la cabecera o el pie de página de un documento o añadirla a la hoja de propiedades de un archivo. En cambio, cuando se clasifica un archivo, se puede aplicar o no una etiqueta.
4. Políticas: Proteja los datos en todas sus formas
Su norma de clasificación de datos debe incorporarse a la política de seguridad general de su organización. Las políticas deben ser claras en cuanto al uso y el manejo de los datos, y el enfoque que se seleccione determinará el coste del manejo de los datos.
Las políticas, normas y procedimientos de seguridad establecen diferentes requisitos sobre los datos y la información, dependiendo del estado del ciclo de vida (creación, acceso, uso, transmisión, almacenamiento o destrucción). El objetivo es proteger los datos en todas sus formas, en todo tipo de soportes y en diferentes entornos de procesamiento, incluidos los sistemas, las redes y las aplicaciones.
Asegúrese de que sus políticas establecen que los usuarios de la información son personalmente responsables del cumplimiento de todas las políticas, normas y procedimientos, y que se les exigirán responsabilidades al respecto.
Las políticas, normas y procedimientos de seguridad establecen diferentes requisitos sobre los datos y la información, dependiendo del estado del ciclo de vida (creación, acceso, uso, transmisión, almacenamiento o destrucción). El objetivo es proteger los datos en todas sus formas, en todo tipo de soportes y en diferentes entornos de procesamiento, incluidos los sistemas, las redes y las aplicaciones.
5. Software PPD para móviles: Vigilancia de los usuarios móviles
Muchos productos de PPD para móviles ofrecen supervisión, lo que permite al departamento de TI ver los datos a los que ha accedido un usuario móvil o que ha descargado de un servidor corporativo. Lo bueno de la monitorización móvil es que proporciona señales de advertencia, lo que da al departamento de TI la oportunidad de actuar ante una posible infracción de las políticas. Sin embargo, tarda en diferenciar entre el ruido general y las verdaderas amenazas a la seguridad, por lo que a menudo se utiliza más bien como un registro para llevar la cuenta de las acciones. El reto consiste en evitar selectivamente que la información sensible se transfiera a un dispositivo móvil o se almacene en él en primer lugar.
Existen productores PPD que ofrecen funciones de clasificación de datos para etiquetar mensajes y documentos (etiquetado de metadatos), así como funciones que analizan el contenido y lo filtran cuando un dispositivo móvil interactúa con un servidor corporativo.
Estas tecnologías, conocidas como "content-aware", son muy útiles tanto para los dispositivos de la organización como para los de los empleados. Pueden impedir que ciertos correos electrónicos, eventos de calendario y tareas se sincronicen con un smartphone o una tableta desde un servidor de Microsoft Exchange, por ejemplo, basándose en la política de PPD móvil. Estas tecnologías permiten al administrador separar el correo electrónico personal del empresarial y evitar que la información de la empresa se almacene en un dispositivo móvil.
Fuente: CSO
Comentarios