A fondo: Lecciones que deja el Día de la Protección de Datos en plena “pandemia digital”

Mantener la privacidad de los datos es una prioridad para los internautas cuando navegan a título personal. Pero también es fundamental para las empresas. El mundo está cada vez más digitalizado y proteger los grandes volúmenes de información que se mueven al cabo del día a través de internet se ha convertido en parte fundamental de las estrategias corporativas. Al menos, así debería ser.

Para concienciar a los más inexpertos y refrescas la memoria al resto, Europa celebra cada 28 de enero el Día de la Privacidad de los Datos.

Este año la celebración es especial, porque se produce en medio de una pandemia que ha cambiado nuestras vidas. Los confinamientos, el distanciamiento social y los toques de queda están a la orden del día. A nivel laboral se fomenta el trabajo en remoto para mantener la actividad mientras se protege la salud de empleados y clientes. La dependencia por las herramientas online se ha agudizado. Y esto tiene sus repercusiones en la gestión de los datos.

Fenómenos como el teletrabajo obligan a replantear procedimientos y a reforzar también los sistemas que se utilizan en casa.

Cifrado, autenticación multifactor, biometría…

“La urgencia por teletrabajar provocada por la pandemia ha acelerado la adopción de soluciones basadas en la nube. Sin embargo, al hacer esta transición muchas empresas no se han preocupado debidamente de su ciberseguridad y de las necesidades de protección de los datos. Esas empresas se dan cuenta ahora de que garantizar la privacidad de los datos es una parte fundamental de una estrategia global de ciberprotección”, comenta Candid Wüest, vicepresidente para la investigación de ciberprotección en Acronis.

Una sociedad que está siempre conectada plantea peligros. Si un ciberdelincuente se salta los controles impuestos dentro y fuera de la oficina tradicional, o esos controles directamente no existen, las empresas se exponen a ataques y filtraciones de información con consecuencias financieras y reputacionales de calado. También quedan a merced de posibles tiempos de inactividad y sanciones por el incumplimiento normativo.

Esto quiere decir que las organizaciones deben tomar cartas en el asunto e imponer requisitos de autenticación para el acceso a sus sistemas, por ejemplo, o hacer una gran labor de concienciación entre sus empleados.

La propia Acronis aconseja adoptar un modelo de confianza cero que obligue a los usuarios a identificarse y demostrar su autorización para el acceso a determinados datos, también cuando trabajan desde casa. Esto se puede fortalecer con el uso de una VPN o red privada virtual, la sustitución de las contraseñas tradicionales por la autenticación multifactor y la supervisión de la actividad a base de inteligencia artificial y análisis de comportamientos de usuarios y entidades (UEBA).

Hay que dejar atrás “herramientas obsoletas diseñadas para trabajar en las instalaciones” y contar con un inventario preciso de los datos que permita tomar la decisión adecuada sobre cómo protegerlos. “Lo que se necesita es un conjunto de registros exhaustivos que rastreen toda la actividad de los archivos, los usuarios, las aplicaciones y la web para revelar todo lo ocurre con los datos de los consumidores”, explica Anurag Kahol, CTO de Bitglass.

“Ahora que ha empezado la distribución de la vacuna, algunos pueden pensar que es solo cuestión de tiempo antes de que se reanude el trabajo ‘normal’ en la oficina. Sin embargo, no creemos que ocurra esto. En lugar de eso, veremos una combinación permanente de trabajo a distancia y presencial, así como empleados móviles cuyos espacios de trabajo cambian constantemente. Las empresas deben estar preparadas para continuar operando de esta forma a la vez que se cercioran de que los datos están seguros, sin importar dónde o cómo se acceda a ellos”, añade.

Bitglass defiende la autenticación mediante el inicio de sesión único (SSO), además de la verificación con múltiples factores, el cifrado de datos en la nube y la implementación de soluciones que permitan o denieguen  la conexión en base a factores contextuales como la ubicación, el tipo de dispositivo o el rol, a poder ser con una herramienta que integre todas estas funciones. Esto sin olvidar las capacidades de prevención de pérdida de datos (DLP).

Por su parte, Nuance anima a la lucha contra el fraude a través de la biometría como factor de autenticación. “Gracias a que la biometría de voz es capaz de utilizar más de 1000 características únicas del habla –desde la pronunciación hasta el tamaño o la forma de la cavidad nasal– y a que la biometría del comportamiento mide detalles minuciosos –por ejemplo, cómo sostiene una persona su teléfono o incluso cómo se para cuando termina una tarea–, los sistemas que incorporan estas tecnologías son considerablemente menos susceptibles de ser hackeados”, concluye Simon Marchand, director de prevención de fraude en la compañía.

Marchand señala, además, que “la triste verdad es que los estafadores no se detienen ni ante una pandemia. Es más, a menudo aprovechan todo lo que estamos viviendo para aumentar su actividad, dirigiéndose hacia personas y organizaciones cuando están en su momento más vulnerable y menos protegido, en aras de manipular sus datos y robar su información personal”. Es decir, hay que actuar ya.

Prevención, no reacción

Usar medidas preventivas apropiadas sobre la información de identificación personal (PII) y compartirla sólo si es estrictamente necesario, así como recopilar únicamente los datos críticos o que requiere la organización para su funcionamiento y almacenarlos bien son máximas innegociables para Proofpoint.

Las empresas tienen que reflexionar sobre qué información piden, porque luego tendrán que responsabilizarse de su protección. Esto implica también revisiones de datos para comprobar si alguno ha caducado o ya no es relevante. Proofpoint indica que es importante combinar seguridad con programas de gobierno de datos para identificar y blindar aquellos que se consideran más sensibles.

De igual modo, Cloudera opina que la clasificación de los datos es un pilar fundamental para que todas las acciones posteriores sean correctas. El truco, además, estaría en aplicar una estrategia proactiva de gobierno del dato, que no se limite a reaccionar cuando algo ya ha sucedido. Lo ideal es anticiparse para que no haya problemas técnicos, sino decisiones de negocio.

“Para encontrar el equilibrio entre seguridad y agilidad, hay que entender la protección de los datos como un proceso de negocio fundamental al igual que ocurre con el marketing y las ventas, la contabilidad o el servicio al cliente”, sentencia Wim Stoop, CDP Customer y Product Director de Cloudera.

Cuidar la relación entre la nube híbrida y la privacidad y adoptar el lema de Privacy by Design son otras de sus recomendaciones. Esto es, incluir la privacidad en las especificaciones tecnológicas desde el principio. Esto mismo es lo que aconseja OpenText. “Al invertir en capacidades integrales de gestión de la privacidad respaldadas por una gobernanza y automatización de la información, las compañías pueden lograr la protección de datos por diseño y defecto, satisfaciendo los requisitos reglamentarios, evitando sanciones por incumplimiento de los mismos y, lo que es más importante, manteniendo la confianza del cliente”, razona Jorge Martínez, director regional de OpenText para España y Portugal.

La clave humana

Kingston completa la lista de consejos con otras maniobras como securizar los dispositivos móviles, que han ganado presencia en la red corporativa, y hacer backups frecuentes en unidades de almacenamiento externo para poder restablecer la actividad en caso de fatalidad, como un ataque de ransomware.

Una de las mejores medidas de seguridad, según la compañía especializada en soluciones de memoria, es aumentar la inversión. Esto se antoja incluso imprescindible en medio de la crisis de coronavirus que atraviesa el mundo, y en plena “pandemia digital”, donde la realidad de trabajo es híbrida y las reglas cambian. Las nuevas estrategias de protección deben adaptarse a cualquier escenario, incluidos imprevistos.

Y, claro está, hay que formar a los empleados con conocimientos lo más útiles posibles y dotarles de recursos para que ellos mismos sean capaces de evitar situaciones de riesgo o alertar de un problema a tiempo. Esto es algo que también pide acentuar Syntonize: concienciar y enseñar, a lo que debería sumarse el “compromiso con la ética laboral, la integridad y la honestidad”. La protección total se consigue al implantar tecnología que frena los ataques que proceden del exterior y una red interna que impide que los datos sean desvelados.

“El panorama actual de protección de datos a nivel corporativo aún tiene mucho camino por recorrer”, comenta Pedro González, desarrollador de negocio de Kingston en España. “Ahora lo primordial es lograr que todo empleado que se encuentre trabajando desde casa y regrese a la oficina cuente con las herramientas necesarias para proteger los datos y archivos en su traslado”.

En este sentido, CyberArk se suma al Día de la Protección de Datos lanzando píldoras de sabiduría como la importancia de actualizar el firmware del router doméstico para mantener a los hackers fuera. O mantener activado el software de seguridad de los ordenadores portátiles, pensar antes de pinchar en cualquier ventana que solicite permisos de instalación o control y evitar las URLs maliciosas que llegan a través de correo de phishing, que es algo que se puede llegar a distinguir.

Avast hace hincapié en la parte más personal de la seguridad, en el error humano, y anima a poner restricciones a las aplicaciones y plataformas como las redes sociales: desde desactivar el seguimiento de la ubicación y del historial hasta rechazar permisos, evitar inicios de sesión vía social login o consultar contenido sin loguearse. De este modo se evita la recopilación de información sensible.

Gestionar las preferencias de publicidad y no hacer clic en los anuncios ni compras desde dentro de la propia plataforma social son otras de sus recomendaciones. Como también lo es crear direcciones de correo desechables y dedicarlas a cuestiones muy específicas sin que haya vínculos con una cuenta principal.

Todas estas medidas, sirven para recuperar el mando y “limitar el acceso de los sitios web, las redes sociales y las aplicaciones a los datos personales. El usuario tiene más control del que cree a la hora de decidir quién puede ver sus datos y qué se puede hacer con ellos”, recuerda Shane McNamee, director de privacidad en Avast. Y toda precaución a la hora de protegerse es poca.