Breaking

25/5/15

El riesgo de la "movilidad" de los datos

Las regulaciones legales actuales sobre la protección de datos personales y sensibles como los de la salud, así como marcos regulatorios como PCI-DDS o el relacionado a la industria bancaria (SBIF, A4609 del BCRA, SBS, etc.), son el motivo para no pensar que solo se trata de la información que perdemos. Quedar expuesto legalmente puede ser un impacto significativo para cualquier Organización.

Por eso veremos aspectos fundamentales que debemos cuidar antes de de habilitar la salida de datos de la empresa. Principal y fundamentalmente debe hacerse una campaña de concientización al usuario en el uso profesional del dispositivo, sobre todo teniendo en cuenta que por “hábitos y costumbres” los dispositivos portátiles se “transforman” en dispositivos de uso personal de los usuarios, quienes habitualmente tienen otorgados permisos de administrador sobre el equipo confiado.

¿Cómo puedo prever estas situaciones?

  • Establecer una política clara y concreta sobre las medidas de seguridad definidas para este tipo de dispositivos, su cumplimiento y sanciones aplicables por incumplimiento
  • Ejercitando y concientizando al personal en el uso de cada uno de los equipos portátiles, incluyendo como debo utilizar un celular o smartphone y que no debo transmitir o hablar en público a través de ellos.
  • Proveer a los usuarios de medios de autenticación remota certificados, así como de los medios de seguridad física necesarios como lingas para el anclaje de notebooks, claves de disco, de booteo, etc.
  • Utilizar estándares de configuración para los equipos, alineados con el negocio y acorde a lo reglamentado por las leyes o buenas prácticas aplicables
  • Tener una buena clasificación de información, donde se pueda distinguir quienes procesan esta información y en que medios la tratan, para así establecer estándares acorde al tipo de dispositivo utilizado
  • Instalar dispositivos que aseguren la identidad de acceso, que “regulen” el tipo de acceso y tratamiento de la información y que nos aseguren una actualización de Antivirus (ya que luego de un tiempo sin conectarse a la red pueden quedar desactualizados), tales como DLP o Endpoint.
  • Contar con un procedimiento de borrado seguro de la información, también de forma remota, que permita en caso de robo eliminar toda la información de un dispositivo o de sus tarjetas externas en caso de telefonía celular.
Las soluciones de DLP y Endpoint también nos ofrecen un valor agregado para las copias de seguridad, replicación y cifrado de los datos, lo que nos brinda mayor posibilidad de volver a trabajar en un equipo de iguales características en caso de pérdida (asegurando la continuidad del negocio) y resguardando el acceso a datos por personas no autorizadas (asegurando la seguridad de los datos confiados).

Independientemente de los dispositivos mencionados, estos mismos cuidados deben trasladarse al uso de Pendrives, tarjetas de memoria o cualquier otro dispositivo de almacenamiento masivo móvil.

Conocer los riesgos y darlos a conocer en la Organización nos ayuda a poder implementar más fácilmente los procedimientos de remediación y conseguir establecer un espíritu colaborativo en la Seguridad de la Información.

Fabián Descalzo
https://ar.linkedin.com/in/fabiandescalzo

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar