Personales, sensibles, críticos e incluso vitales… hay múltiples datos. Sin embargo y tras la entrada en vigor en Europa del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, las empresas muestran especial preocupación por los denominados datos personales considerados sensibles, por la clase de información que contienen.
Según la Comisión Europea (en consonancia con RGPD) los datos sensibles son aquellos que hacen referencia a una persona, como detalles sobre su origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas; afiliación sindical, información genética, biométrica o sobre su salud; o sobre su vida u orientación sexual. El tratamiento de estos datos, incluida su recogida y utilización, queda estrictamente regulado por la ley. Sin embargo, no son estos los únicos tipos que requieren de una protección especial.
Datos sensibles, críticos, vitales…
Los datos de una organización van mucho más allá de los denominados como sensibles, y abarcan también otros considerados vitales para el funcionamiento interno del negocio, como los de producción, financieros o de I+D y, sin los cuales, la empresa podría dejar de existir o perder su ventaja competitiva.
Lo mismo ocurre con los datos no estructurados, cuya tasa de crecimiento anual es del 30 al 60%, según Gartner ; y con los almacenados en la nube, que, pese a su imparable desarrollo, no se cuidan adecuadamente. Solo el 17% de las empresas reconoce cifrar al menos la mitad de sus datos sensibles almacenados en la nube, de acuerdo a un estudio de Thales . Estos dos porcentajes muestran la importancia clave de la protección de datos. Pero, ¿cómo hacerlo?
Identificar y clasificar los datos para protegerlos mejor
Sin duda, es más sencillo proteger aquello que se conoce bien, por lo que, a la hora de salvaguardar los datos, es vital identificar los activos de información. Para ello, se debe crear un inventario de las operaciones de procesamiento de datos (automatizadas o no), de los datos procesados (archivos de clientes, contratos…) y de los medios en que se basan, y no solo en términos de equipos y software, sino también de canales de comunicación.
Se debe crear un inventario de las operaciones de procesamiento de datos, de los datos procesados y de los medios en que se basan
Una vez identificados, lo siguiente es clasificar los datos, para ordenarlos en función de su criticidad y, por tanto, de su confidencialidad y difusión. El mayor problema es que no existe una nomenclatura estándar o un método de clasificación único, por lo que el éxito de esta iniciativa dependerá de la madurez cibernética de cada empresa y de su higiene digital. Así, antes de clasificar los datos para protegerlos o limitar su difusión, su propietario o productor debe ser consciente de su valor. Se trata de prestar atención a lo que se envía y a quién, por lo que es necesario formar a las personas en este concepto y en sus retos.
La cuestión de la madurez también se plantea cuando se trata de las copias de seguridad, un tema que ha ser abordado tanto por las distintas unidades de negocio como por el departamento de TI. Las primeras son las encargadas de identificar si poseen datos de valor para la empresa, y, de ser así, hasta qué punto podría ser problemática su destrucción, pérdida o robo, mientras que la función de TI pasa por conocer esos datos, para poder proporcionar las herramientas e infraestructuras adecuadas que ayuden a protegerlos y restaurarlos en caso necesario. El objetivo es evitar la copia de seguridad en la sombra o el almacenamiento de datos en la sombra, cuando los responsables empresariales implementan su propia solución local y almacenan sus datos en un servidor o en una solución de almacenamiento en la nube sin que el equipo de TI o de seguridad tenga constancia. Esto es sencillo sobre el papel, pero dramáticamente complejo en la realidad, especialmente cuando la TI en la sombra entra en juego.
Las organizaciones deben planificar un Plan de Recuperación del Negocio (BRP) o un Plan de Continuidad del Negocio (BCP)
La solución
Dado que no hay datos sin importancia, una adecuada estrategia de protección de esa información debe asentarse sobre un enfoque global que combine la defensa del perímetro, pero también el resguardo del puesto de trabajo y la salvaguarda de los datos. En este sentido, es vital contar con diferentes capas de protección: cortafuegos para las redes, soluciones de punto final para las estaciones de trabajo y soluciones de cifrado o de prevención de fugas para los datos reales; además de adoptar una rigurosa política de seguridad.
Por último, las organizaciones deben planificar un Plan de Recuperación del Negocio (BRP) o un Plan de Continuidad del Negocio (BCP), y almacenarlo, en modo offline, impreso y guardado en un espacio físicamente seguro; o en formato digital, pero en un servidor separado y aislado para evitar que sea encriptado.
