10 cosas que las empresas pueden hacer para proteger sus datos

Según la investigación, casi siete de cada 10 (69 por ciento) encuestados informaron que el ataque de ransomware más exitoso resultó en que el atacante pudiera encriptar algunos archivos/datos, y el cinco por ciento pagó el rescate para descifrar los datos. De aquellos cuya organización ha sufrido un ataque de ransomware en los últimos 12 meses, el 69 por ciento dijo que el atacante de ransomware obtuvo acceso a la red de su organización mediante phishing a través de correo electrónico o redes sociales.

A la luz de este y otros ataques que apuntan a los datos, ¿qué pueden hacer las empresas?

1. Hacer cumplir los controles de acceso

Si bien sus datos y aplicaciones pueden estar bajo el control de un proveedor de la nube, usted controla el acceso del usuario. Y este es su punto más importante de vulnerabilidad. Hasta 2022, según Gartner, al menos el 95 por ciento de las fallos de seguridad en la nube serán culpa del cliente. TI debería buscar el "principio de mínimo privilegio" configurando permisos de lectura y escritura para que se otorguen solo a quienes los necesitan. Haga cumplir la autenticación de factores múltiples para ayudar a garantizar que las personas sean quienes dicen ser.

2. Presente la vista de gestión holística

Un proveedor de servicios de infraestructura en la nube es responsable del rendimiento confiable, eficiente y seguro del hardware, pero usted es el responsable final de asegurarse de que sus sistemas operativos invitados estén completamente parcheados y cumplan con las líneas de base de seguridad. Los expertos recomiendan utilizar una única plataforma de gestión para obtener una visión holística de la seguridad en todos los entornos.

3. Monitorear empleados

La mayoría de los empleadores tienen mucho cuidado al proteger toda la información personal de los empleados que almacenan, como los números de seguro social y las tarjetas de crédito utilizadas para viajar. Pero hay que vigilar que no se generen múltiples puntos de compromiso potencial que pueden dañar severamente la marca.

4. Aplicar contraseñas únicas

Recomiende a los empleados que utilicen una contraseña única para cada sitio al que acceden. Desafortunadamente, es común que las personas usen una contraseña para la mayoría, si no para todos, de los sitios que visitan rutinariamente.

5. Ofrezca formación por correo electrónico

Mantener una campaña anti-phishing en curso. Los ladrones cibernéticos que orquestan campañas de phishing están ganando en sofisticación, y muchos de los correos electrónicos que envían no son inmediatamente identificables como provenientes de alguien que no sea el supuesto remitente. Esto es especialmente cierto cuando el correo electrónico se personaliza y se dirige a la dirección de correo electrónico comercial del destinatario, y conocer el formato de la dirección de correo electrónico de un solo empleado hace que sea muy fácil personalizar los correos electrónicos de phishing para terceros. Aliente a los empleados a informar cualquier correo electrónico sospechoso que reciban en lugar de abrirlos o responder, de modo que pueda bloquear los correos electrónicos de esa fuente y alertar a otros empleados de que pueden ser atacados.

6. No olvide la protección física

Extienda las políticas de seguridad a medidas físicas. Asegúrese de que los empleados tengan fácil acceso a las trituradoras de papel, y que entiendan la necesidad de utilizarlas para todos los documentos que contengan información de cualquier grado de sensibilidad.

7. Introduzca el cifrado

Una de las primeras etapas para proteger los datos de una compañía es usar la encriptación correcta, especialmente en el ámbito de las pequeñas empresas, donde puede no haber el presupuesto para algunos de los programas más avanzados. Hay una variedad de formas de convertir datos confidenciales en códigos seguros, la opción popular es codificar los datos entrantes y salientes detrás de un cortafuegos, lo que significa que puede encriptar datos a nivel individual y mantener un control firme de la información privada.

8. Introducir una gestión de datos eficaz

Se aconseja a los usuarios de Office 365, y otras suites de productividad, que los usuarios que trabajan en el sistema puedan acceder a los datos almacenados en todo el sistema. Es importante para los clientes empresariales de Microsoft permitir que el contenido de Office 365 se busque con todo en la empresa a través de cualquier entorno de TI local, en múltiples nubes o híbrido. Sin embargo, en última instancia, proteger los datos es una responsabilidad de la empresa.

9. Involucrar a TI

Poner datos en la nube no transfiere la responsabilidad de la protección de datos al proveedor de servicios en la nube. Los departamentos de TI mantienen sus responsabilidades de respaldar y proteger estos datos.

10. Desarrollar una estrategia de retención

Muchas organizaciones necesitan deshacerse de los datos después de siete o 10 años, tanto desde una perspectiva de ahorro de costos como desde una perspectiva de responsabilidad, por lo que no se trata solo de respaldar sino de comprender realmente los requisitos de retención de la organización. Esas copias de seguridad deben ser completas, independientes de la plataforma y, lo que es más importante, la organización debe auditarlas para que estén completas, comprender y documentar los pasos para el cambio, y practicar esos eventos de conmutación intermitentemente.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.