A medida que se relajan las restricciones de confinamiento en todo el mundo, los trabajadores corporativos realmente constituyen una combinación de trabajadores de oficina y remotos. Mantener la seguridad de los datos de la empresa en una fuerza laboral tan dispersa puede parecer una tarea abrumadora para los administradores, especialmente con la proliferación de la TI en la sombra y el trabajo con dispositivos móviles. Sin embargo, las cosas se pueden simplificar centrándose en los tres elementos principales que componen la seguridad de los datos: confidencialidad, integridad y disponibilidad.
Proteja los datos corporativos en dispositivos móviles
La protección de la confidencialidad de los datos incluye la prevención del acceso no autorizado y la prevención de la fuga de datos. Sin embargo, esto es a menudo más fácil decirlo que hacerlo. Los empleados son personas. Esto significa que a menudo, sin darse cuenta, instalan malware en sus dispositivos móviles o visitan sitios web maliciosos. Esto pone en riesgo los datos corporativos confidenciales en el dispositivo. Además, los empleados a menudo pueden olvidarse de instalar parches de seguridad críticos, lo que deja sus dispositivos vulnerables a ataques y filtraciones de datos.
El simple hecho es que los dispositivos móviles corren un alto riesgo de pérdida o robo. El Crime Survey for England and Wales (CSEW) estima que más de 325.000 personas experimentan el robo de teléfonos móviles cada año. Eso significa que se roba un teléfono cada 97 segundos. Dado que los empleados utilizan con frecuencia sus dispositivos personales para el trabajo, un teléfono robado puede hacer que los datos de la empresa en el dispositivo caigan en manos equivocadas. Puede ser complicado para los administradores evitar mezclar espacios corporativos y personales en el dispositivo. Además, si un empleado deja la organización, asegurarse de que todos los archivos de la empresa se eliminen sin afectar los archivos personales puede ser una tarea tediosa.
Shadow IT es un flagelo que afecta a muchas organizaciones. Los resultados de encuestas recientes muestran que alrededor del 83 % de los empleados utilizan aplicaciones no aprobadas. Por lo tanto, las organizaciones deben limitar la instalación de aplicaciones no confiables y alentarlas a usar aplicaciones corporativas dedicadas para ver documentos corporativos. Además, los administradores deben mantener los dispositivos lo más seguros posible mediante la distribución de parches estables a los dispositivos. Este proceso debe ser realizado por el equipo de TI, no solo por los empleados.
Es importante hacer cumplir estrictas políticas de contraseñas en los dispositivos. Además, el bloqueo y el seguimiento remotos se utilizan para ayudar a proteger los datos si se denuncia la pérdida o el robo de un dispositivo. Si el dispositivo resulta irrecuperable, se debe realizar un borrado remoto, eliminando el riesgo de robo de datos. Contener los espacios de trabajo de la empresa en los dispositivos propiedad de los empleados separa el trabajo del juego, o simplemente elimina los archivos de la empresa si un empleado deja la organización.
Mantener la integridad de los datos
La confidencialidad se ocupa de evitar el acceso no autorizado, mientras que la integridad se ocupa de evitar la manipulación de datos y mantener su autenticidad en reposo y en tránsito. Esto es importante para mantener el cumplimiento de las normas de privacidad de datos, como el Reglamento General de Protección de Datos (GDPR). El no hacerlo puede resultar en multas graves. Según el RGPD, las empresas que violan las violaciones de datos se enfrentan a una multa de 20 millones de euros o el 4 % de su facturación anual, lo que sea mayor.
Cuando los empleados remotos se conectan a redes domésticas, públicas o compartidas, los datos en tránsito están expuestos a riesgos como ataques de intermediarios que pueden alterar la integridad de los datos. Algunas aplicaciones crean copias de seguridad automáticas de archivos en servidores en la nube de terceros, lo que hace que los datos sean tan seguros como la propia nube. Un ciberataque o un error accidental en la nube puede provocar que los datos se corrompan y pierdan su integridad. Además, los controles de acceso de usuario mal administrados y la concesión amplia de acceso a los archivos parecen ser útiles. Sin embargo, hacerlo podría permitir que cualquier persona acceda y edite archivos, incluso desde dispositivos no autorizados, lo que dificultaría la auditoría.
El uso de una red privada virtual (VPN) corporativa y certificados protege la integridad de los datos en tránsito, incluso en redes públicas. También ayuda a cifrar los archivos de la empresa con algoritmos potentes, protegiendo así la integridad en reposo. La función de copia de seguridad automática debe limitarse a los dispositivos de los empleados para evitar que los datos de la empresa se exporten a redes en la nube de terceros. No hay una solución única para todos. Debe haber un control detallado sobre quién puede acceder a los datos confidenciales evitando el intercambio masivo de archivos. Además, el acceso a los servidores corporativos solo debe otorgarse a dispositivos móviles administrados para proteger aún más los datos corporativos.
Admite el tiempo de actividad crítico del sistema
Con la confidencialidad y la integridad optimizadas, los administradores deben asegurarse de que los empleados tengan los recursos que necesitan para hacer su trabajo sin interrupciones. Mantener los sistemas críticos en funcionamiento es de lo que se trata la disponibilidad.
Con varios equipos, asegurarse de que cada miembro del equipo tenga acceso a los archivos correctos en sus dispositivos móviles, al tiempo que se asegura de que las nuevas versiones de los archivos existentes se actualicen en momentos decisivos como reuniones de negocios, puede ser una tarea abrumadora. La paciencia rara vez es una virtud. Si los administradores que consumen mucho tiempo no entregan las aplicaciones necesarias a los empleados de manera oportuna, a menudo pueden recurrir a TI en la sombra e instalar aplicaciones similares de fuentes no confiables para hacer el trabajo.
El tiempo es a menudo la clave. Si un administrador envía una actualización importante del sistema operativo (SO) durante el horario laboral, el dispositivo fallará, lo que afectará la productividad de los empleados a los que intenta capacitar. Además, los problemas técnicos inevitables en el equipo pueden interferir con la usabilidad adecuada.
La distribución de archivos se puede simplificar mediante la distribución a grupos en lugar de a empleados individuales según los servicios de directorio. Al comprender las necesidades de los empleados y proporcionar las aplicaciones necesarias al equipo de manera oportuna, puede ayudar a prevenir la TI en la sombra.
Las actualizaciones del sistema operativo deben programarse fuera del horario comercial para minimizar las interrupciones. También es inteligente dar a los empleados la opción de retrasar temporalmente las actualizaciones para garantizar que la disponibilidad no se interrumpa mientras trabajan. La resolución remota de problemas en tiempo real a través de Internet también garantizará una disponibilidad ininterrumpida.
Afortunadamente, existen soluciones de gestión de la movilidad empresarial disponibles para ayudar a gestionar de forma segura los dispositivos móviles propiedad de la empresa y de los empleados en el entorno de trabajo híbrido moderno que estamos viendo. Esto puede proporcionar la panacea que los administradores necesitan para ayudar a hacer cumplir las políticas de seguridad corporativas en todos los dispositivos para mantener seguros los datos corporativos confidenciales en reposo y en tránsito.
Mathivanan Venkatachalam, vicepresidente de ManageEngine (se abre en una pestaña nueva)
