Como empresario es tiempo de que reflexione si la protección de datos de su compañía es suficiente y segura. De acuerdo con un estudio realizado en España por la consultora tecnológica Sans en el año 2016, que afirma que hubo un aumento del 24% en niveles altos de amenaza hacia los sistemas de control, en comparación con el año 2015, sólo hay que imaginar cuanto habrá aumentado hasta la fecha.
La protección de datos debe formar parte de la estrategia seguridad de la compañía pues, aunque se piense que nunca una situación de ese tipo afectará a la organización, según la encuesta global de seguridad de la información realizada por la firma PricewaterhouseCoopers ( PWC) ya por el año 2016, diversas empresas reportaron pérdidas financieras, producto de incidentes en la seguridad de los datos de un 159%.
Todas las personas que forman parte de la organización son responsables de la protección de datos, ahora bien, como líder empresarial debe responder a estas preguntas:
- ¿Conoce dónde están ubicados los datos de sus clientes?
- ¿Quiénes acceden a estos datos?
- ¿Qué medidas emplea la organización para protegerlos?
Si respondió al menos una pregunta de manera negativa, es tiempo de buscar asesoría en relación con la protección de datos de la corporación y decídase a invertir en seguridad. Evite ver la inversión en seguridad de la información, como una carga con respecto al presupuesto y tiempo, ya que uno de los activos más valiosos de su empresa es mantener segura la confidencialidad de los datos sensibles (datos que contienen información privada de los consumidores).
La Protección de datos es un tema en el que los empresarios deben pensar y tomar todas las medidas de seguridad para garantizar la privacidad digital. Para cumplir con el propósito de evitar accesos no autorizados a los datos sensibles, que se encuentran alojados en las computadoras, bases de datos y páginas web de las organizaciones. También, es prioritaria la seguridad para resguardar los datos de la corrupción de los mismos, por lo que se hacen inaccesibles a causa de errores en los sistemas de transmisión de datos y los equipos.
El resguardo de la información implica emplear estrategias de tecnología para la protección de datos, efectivas y confiables para salvar a la organización de incidentes que involucren piratas informáticos.
Estrategias de tecnología para la protección de datos
Ingeniería en la protección de datos
En esta estrategia intervienen profesionales ingenieros en seguridad de datos, que se encargan de proteger la red, los computadores y las bases de datos de la empresa de amenazas posibles. Para ello diseñan sistemas, hacen implementaciones, efectuan pruebas de seguridad, crean arquitecturas de seguridad eficientes y modelos de amenazas para que la red esté resguardada, de cualquier amenaza informática.
Encriptación de datos
Es un procedimiento que se encarga de cifrar los datos para hacerlos ilegibles sino se tiene la clave de encriptación. La encriptación como proceso puede ser reversible pero, en algunos casos la misma no puede ser revertida. Asimismo, esta táctica de seguridad es empleada cuando se almacenan o transmiten datos sensibles, que pueden correr el riesgo de ser obtenidos por personas no autorizadas como los hackers.
Como se mencionó, la encriptación de datos, se emplea en el almacenamiento y transmisión de datos sensibles como claves, números de identificación de personas, números de tarjetas de crédito y débito, reportes financieros, conversaciones on line confidenciales, entre otras.
Este método es necesario en las organizaciones donde se empleen los sistemas cloud como espacio de almacenamiento de datos, los archivos en constante tránsito como los adjuntados en email, herramientas de comunicación colaborativa, entre otras.
Seguidamente, el sistema de protección de datos de la empresa debe garantizar que la información se transmita de manera segura, con integridad en los datos y confidencialmente.
En la actualidad, uno de los sistemas empleados para la encriptación de datos es la firma digital, la cual consiste en un sistema cifrado con método asimétrico en el que se puede firmar un documento electrónico. Estas firmas son certificadas digitalmente y la persona que emite la firma, posee una clave privada del documento a la hora de realizar su firma.
Este sistema se ha popularizado tanto en Europa, que en España las firmas digitales avanzadas, se encuentran en el marco legal del país. Estas firmas pueden ser empleadas por empresas y personas naturales, para darle más seguridad y legalidad a sus documentos.
Además, para obtener una firma digital avanzada, una empresa o persona natural debe hacer la solicitud ante la Secretaría de Hacienda española, la cual recaba los datos de identificación biométricos como huellas, iris del ojo y firma que almacenará, para otorgar un certificado de identidad y una clave que será usada a la hora de firmar cualquier documento digital.
Detección de accesos no autorizados
Las redes son sensibles al acceso de intrusos como hackers y crackers, que ejecutan prácticas informáticas con fines criminales, buscando entrar a redes inseguras y a sistemas con vulnerabilidad porque carecen de actualización.
En estos casos, las organizaciones, deben contar con un Sistema de Detección de Intrusos para la localización de anomalías, como la entrada no autorizada a la red de la empresa. Este sistema de inmediato emite una alarma a los administradores de la red, para que en tiempo real, efectúen las acciones necesarias como la protección de datos contra ataques maliciosos.
Dependiendo de la organización, los sistemas de detección de intrusos ofrecen políticas de seguridad con técnicas y herramientas para estas eventualidades de violación informática. Entre los sistemas se pueden mencionar:
- Sistemas de conocimiento: Alertan a los administradores de la red, antes de que ocurra la amenaza, empleando una base de datos de ataques.
- Sistemas de comportamiento: Funcionan elaborando un seguimiento constante a la actividad en la red y cuando ocurre un procedimiento que no es común, envía la alerta de inmediato.
- Sistemas basados en Host: Detecta individualmente cada host o computador conectado a la red para protegerlo con filtros, cuando los host envían datos entre ellos. El problema de estos sistemas es que no funcionan en dispositivos móviles.
Firewall (cortafuegos)
Son software y hardware que forman parte de una red y están diseñados, siguiendo unas normas para bloquear el acceso a la red de la empresa, de usuarios sin autorización o piratas informáticos.
Los firewall son muy útiles, cuando las computadoras de la red se encuentran conectadas a Internet frecuentemente, porque permiten filtrar toda la información que es tráfico en la red, y autorizar las conexiones a la red de la empresa, bloquear una conexión dudosa y re direccionar una solicitud de conexión, sin previo aviso al emisor.
Con los firewall se establecen niveles de seguridad para la protección de datos como:
- Cualquier acción que no se autoriza, es catalogada como prohibida.
- Imposibilidad de comunicaciones, que rotundamente fueron negadas.
Los firewall no son garantía de defensa contra todos los ataques pero, contar con uno, acompañado de antivirus eficaces y eficientes en la organización, garantizan la minimización de ataques y aumentan la protección en las redes empresariales.
Legislación
En estos momentos países como España y Colombia poseen en su legislación la protección de los datos sensibles, relacionados con el uso de tecnologías informáticas. Por lo tanto, es obligación de las empresas, invertir en infraestructura de hardware y software, para proteger los datos de sus clientes de ataques informáticos, que impliquen riesgo para la información de la clientela de la organización.
Invertir en estrategias de protección datos, de la infraestructura de los sistemas informáticos debe verse como una ganancia y no como un gasto. Las copias de seguridad remotas, monitorear todos los procesos de la organización, recuperar datos y establecer políticas de seguridad que protejan a la empresa de ataques de virus, troyanos, spam, gusanos, crackers, hackers, bloqueo de sistemas, entre otras acciones maliciosas, garantizará que se cumple con la Ley, y mostrará que la empresa fomenta políticas para custodiar un activo tan valioso como sus datos.