Proteger la información en tiempos de transformación digital
11
La información es uno de los activos más importantes de una empresa: sostiene la operación, define decisiones estratégicas y contiene datos sensibles tanto de clien- tes como del negocio que se utiliza para diversos procesos. En tiempos de transformación digital y economía de datos, las organizaciones co- mienzan a adaptarse a este nuevo modelo que incorpora beneficios tecnológicos, pero que abre también nuevas vulnerabilidades a fugas de información valiosa. Ya sea por robos dirigidos desde afuera o negligencia/intencionalidad de quienes es- tán dentro de la organización, resulta fundamental contar con una estrategia de pro- tección de la información que se adapte a este nuevo paradigma. nextvision.com Proteger la información en tiempos de transformación digital
Transcript of Proteger la información en tiempos de transformación digital
La información es uno de los activos más importantes de una empresa: sostiene la
operación, define decisiones estratégicas y contiene datos sensibles tanto de clien-
tes como del negocio que se utiliza para diversos procesos.
En tiempos de transformación digital y economía de datos, las organizaciones co-
mienzan a adaptarse a este nuevo modelo que incorpora beneficios tecnológicos,
pero que abre también nuevas vulnerabilidades a fugas de información valiosa.
Ya sea por robos dirigidos desde afuera o negligencia/intencionalidad de quienes es-
tán dentro de la organización, resulta fundamental contar con una estrategia de pro-
tección de la información que se adapte a este nuevo paradigma.
nextvision.com
Proteger la información
en tiempos de transformación digital
Un cibercriminal extrae información aprovechando huecos de seguri-
dad.
Acceso de terceros tales como proveedores, quienes facilitan la fil-
tración de información por carencias en su propia seguridad.
Un miembro de la organización que se comporta negligentemente:
abre, hace clic y descarga archivos sospechosos, o visita sitios web
inapropiados, publica en redes sociales o pierde dispositivos con in-
formación sensible.
Un empleado malintencionado o ex empleado que guarda informa-
ción sensible y la envía a un competidor u otro fin ilícito.
Envío de información. Uso de aplicaciones de comunicación y trans-
ferencia de archivos.
Un ciberataque masivo o dirigido utilizando malwares preparados
para robo o daño de la información.
nextvision.com
Más cantidad de datos,
más riesgos de fuga...
Según un estudio de IDC, el volumen total de
datos aumentará 10 veces en los próximos 8
años a nivel global, impulsado mediante el uso
de aplicaciones móviles y en la nube. Y a mayor
información disponible, más probabilidades de
fuga...
Una fuga de información se produce cuando personas no autorizadas ven o roban
información sensible y/o confidencial.
Algunos casos de fuga de información:
nextvision.com
Fugas de información por fuente
La fuente de una fuga de datos puede variar
Fugas de información por fuente
La fuente de una fuga de datos puede variar
2017
2017
nextvision.com
¿Qué produce en un negocio
la pérdida de información sensible?
Incumplimiento de normativas: En la mayoría de los países existen
regulaciones que protegen los datos personales de las personas y
regulan su uso por parte de las empresas. Un caso reciente en esta
materia es la aprobación del General Data Protection Regulation
(GDPR), un reglamento que entrará en vigencia el 25 de mayo de
2018 y busca unificar la protección de datos en todos los países de
la Unión Europea. Las multas son muy elevadas: más de 20 millo-
nes de euros o 4% de la facturación global anual de la organización.
En Argentina, el ente encargado de regular el uso de datos sensibles
es la Dirección Nacional de Protección de Datos Personales. Tam-
bién destaca el papel del BCRA en el control del uso y manejo de la
información, los procesos y transacciones que ponen en riesgo los
datos financieros de los usuarios.
Pérdidas financieras: las empresas pueden verse obligadas a in-
demnizar económicamente a clientes afectados, o podrían perder
su competitividad, si se fugó información asociada al core del nego-
cio.
Suspensión de las operaciones: este caso puede darse cuando se
fuga información sensible sobre servicios o procesos clave para la
continuidad del negocio.
Pérdida de credibilidad: cuando una empresa es víctima de este tipo
de incidentes, queda ante sus clientes como una organización en la
que no se puede confiar para brindar información sensible como
datos médicos o financieros.
Telefónica con el famoso WannaCry, Deloitte, Equifax, Forever 21, Hyatt Ho-
tels, Sabre HS, Uber, Verizon son solo algunas de las empresas/
organizaciones que tuvieron fugas de información y sufrieron daños en su
reputación durante 2017. Fuentes: ZDnet y IdentityForce
nextvision.com
Una estrategia de seguridad
centrada en la información.
La adopción de una metodología de clasificación de datos es una aproximación para
identificar, proteger y administrar información.
Su implementación como una parte de una estrategia de seguridad por capas per-
mite defenderse a sí mismo contra las posibles casos de amenazas a las que esta-
mos expuestos como describíamos más arriba. La organización de los datos en ca-
tegorías es considerada una buena práctica para hacer un uso eficiente de la infor-
mación. Cuando etiquetamos los datos de acuerdo a su nivel de sensibilidad o valor
para la organización, los estamos clasificando desde la perspectiva de la seguridad.
De este modo, salimos de la visión tradicional de poner muros de protección alrede-
dor de redes, bases de datos, aplicaciones y dispositivos y nos enfocamos en los da-
tos en sí mismos. Los usuarios están dentro de esos muros y muchas veces pueden
ocasionar filtraciones si no se sigue una estrategia adecuada de clasificación de la
información. El 95% de las fugas son producto del error humano.
La clasificación puede ser manual o automatizada. El etiquetado automático particu-
larmente permitirá entonces embeber la clasificación en los mismos archivos o co-
rreos haciendo posible que el uso de la información sea hecha apropiadamente.
La necesidad de clasificar la información. 1
La seguridad de los datos no depende solamente del área de Seguridad Informática
sino de toda la organización. Es necesario concientizar a todos los integrantes sobre
la necesidad estratégica de proteger los datos sensibles del negocio a través del ma-
nejo responsable de la información.
Hay que crear una cultura de la protección de datos en la empresa
nextvision.com
Una de las consecuencias del nuevo paradigma digital es la alta demanda de recur-
sos humanos idóneos en ciberseguridad. Hoy en día, la tasa de desempleo de este
perfil profesional es cero, y la brecha de talentos va en aumento. Esto genera vacan-
tes de cargos en ciberseguridad dentro de las organizaciones por demasiado tiempo
y exponen al negocio a riesgos cada vez mayores .
La brecha también es de talento. 2
La ciberseguridad es colaborativa
Frente a este contexto, se vuelve necesario disponer de partners que dispongan del
conocimiento y las soluciones necesarias para automatizar la detección de compor-
tamientos maliciosos y cuenten con un staff que pueda integrarse en la gestión de la
ciberseguridad, brindando su experiencia en gestión de la información, difícil de ad-
quirir en el mercado competitivo actual.
nextvision.com
Las dificultades de la implementación de un grupo de soluciones que protejan la in-
formación proviene de la complejidad con la que ésta se genera.
Las aplicaciones, por ejemplo, tienen dificultad de adaptarse a las necesidades de
protección de datos, y especialmente a las regulaciones. Lo que significa que deben
modificarse cosa a veces imposible o inviable por los altos costos o deban añadir
capas adicionales para proteger los datos que éstas gestionan
Implementación de protección de datos. 3
Podemos hablar de distintos espacios por donde se genera, circula o reside la información:
Las aplicaciones, correos electrónicos (entre otras) generan datos estructurados y
no estructurados a partir de nuevos contenidos que se van creando. Esto último
agrega una preocupación extra ya que su gestión es más compleja.
Para poder controlar estos aspectos, hay que centrar el análisis de la información en
los datos y en la gente que los gestiona. Para ello, hay que trabajar con soluciones
tecnológicas que permitan:
Sin ir más lejos, desde NextVision proponemos soluciones que incorporan herra-
mientas para cubrir estos aspectos, proveyendo flexibilidad, facilidad de implemen-
tación y tecnologías de análisis de comportamiento de usuarios (UBA) que brindan
automatización e inteligencia al trabajo de proteger los datos con escasos recursos
propios.
Endpoints Redes Storage Nube
SecuPI:
Protegé tus aplicaciones comerciales
SecuPi ofrece protección a nivel de aplicaciones, controla los flujos de información y
puede detener la fuga de datos en aplicaciones desarrolladas en plataformas tales
como .NET, Java y Node.js.
Esta solución combina protección de aplicaciones web y empresariales con monito-
reo de actividad de datos. Cuenta con una auditoría sofisticada para prevención de
robo de datos, ya sea por por usuarios internos, externos y usuarios con acceso pri-
vilegiado a las aplicaciones.
Sin generar cambios en el código, SecuPi permite a las empresas garantizar que los
datos se accedan según la necesidad de conocerlos a la vez que protege contra el
abuso descuidado y malicioso.
Esta solución está preparada para cumplir con la nueva regulación GDPR de protec-
ción de datos, así como amenazas internas y externas que puedan afectar la protec-
ción de la información.
Soluciones destacadas de Protección de Datos
Descubrí y Clasificá
Descubrí, mapeá y clasificá datos personales, flujos de datos y procesos en aplica-
ciones y bases de datos.
Monitoreá y Detectá
Supervisá en tiempo real toda la actividad de los usuarios en las aplicaciones y sepa
QUIÉN está accediendo a los datos personales, CUÁNDO y DÓNDE
Aplicá derechos de sujeto
Usá seudónimo y borrá los datos del cliente para cumplimiento de GDPR y otras
normativas de protección de datos.
SecuPi proporciona controles y visibilidad granular de la actividad del usuario, que
abarca aplicaciones, herramientas y entornos de gran tamaño empaquetados y de
fabricación propia. SecuPi puede hacer que las aplicaciones en producción y en
ambientes de desarrollo estén preparadas para GDPR en cuestión de días.
nextvision.com
Solución DLP de Symantec
Descubrí, Monitoreá, Protegé...
DLP de Symantec brinda una protección de datos que se adapta al escenario actual,
plagado de amenazas, y a las expectativas y necesidades de las organizaciones,
centradas en la nube y la movilidad.
nextvision.com
Con DLP de Symantec, podés:
Saber dónde están almacenados tus datos: (Aplicaciones de
la nube, dispositivos móviles, sistemas de red y de almace-
namiento)
Monitorear cómo se utilizan tus datos, dentro y fuera de tu
red.
Proteger los datos contra la fuga, sin importar su uso o for-
ma de almacenamiento.
Symantec DLP combina la conveniencia de la protección de tus datos dentro y fuera
de la red de la organización, con tecnologías de detección de datos avanzadas, ca-
paces de detectar si tus datos están en uso, en reposo o en movimiento.
nextvision.com
Implementar Symantec DLP en tu negocio permite:
Una cobertura de protección amplia y visión de tus datos en
más de 60 aplicaciones cloud: Office 365, Dropbox, Google
Apps y Salesforce.
Supervisión continua de cambios en la información.
Gestión en una única consola basada en la web.
Capacidades de flujo de trabajo robustas que permiten desa-
rrollar una respuesta a incidentes ágil.
Análisis avanzado y reporting ad-hoc.
nextvision.com
AYUDAMOS A GESTIONAR LOS RIESGOS DE
CIBERATAQUES DE MANERA INTELIGENTE
El 97% de los ataques son controlables con una buena admi-
nistración de las herramientas tecnológicas y educación de los
usuarios.
Erradicamos la improvisación, priorizando correctamente los
activos a proteger para mantener la continuidad del negocio.
PROMOVEMOS UNA CULTURA CIBERSEGURA
Ayudamos a transformar los hábitos de toda la organización
con programas integrales, para que todos los colaboradores
cuiden la información crítica y activos digitales del negocio.
nextvision.com
