Estudio Varonis Data Risk Report 2018
Por qué las PYMEs debería ir sobre seguro
“Ya no se trata de si la empresa va a ser atacada, sino cuándo va a ser atacada. No importa su tamaño”, explica Florian Goldenstein, Director de Seguridad IT de Konica Minolta Business Solutions Germany GmbH. “Las grandes empresas están cada vez mejor preparadas para los ciberataques. Por eso la atención de los ciberdelincuentes se dirige cada vez más a las pequeñas y medianas empresas, las PYMEs”, comenta el experto en seguridad.
Pero si se mira más de cerca, las empresas son presa fácil. De acuerdo al estudio mencionado, alrededor de tres cuartos de las empresas admiten estar utilizando más de 1.000 ficheros sensibles y desactualizados, lo que representa un gran riesgo de seguridad. El 41% de las empresas reconocen tener bases de datos sensibles, como las que contienen datos de tarjetas de crédito o datos médicos, que están completamente desprotegidas.
El crecimiento pronosticado para 2025 es enorme
Las previsiones de Statista sobre generación anual de datos generados muestran la importancia que tiene el tema de la seguridad y que va a aumentar en el futuro. La cantidad de datos generados se estima que crezca de 33 zettabytes en 2018 a 175 zettabytes en 2025. Como aclaración: Un zettabyte es equivalente a 1.000 exabytes. En cifras, se trataría de un uno seguido de 21 ceros.
El estudio Data Age 2025 de IDC y Seagate asume también un enorme incremento de datos para 2025. Mientras que hasta ahora la mayoría de los datos proceden de clientes finales de todo el mundo, el estudio anticipa que esa creación se desplazará en el futuro hasta las empresas. En 2025 los expertos estiman que las empresas generarán alrededor del 60% de los datos totales mundiales. El estudio afirma que sólo con la Internet de las Cosas (IoT), un consumidor medio interactuará diariamente con 4.800 dispositivos. Y todos esos datos tienen que ser protegidos.
El crecimiento de los datos requiere protección y seguridad
Para gestionar de forma segura los datos y su crecimiento, es necesario contar con dos conceptos muy importantes: La protección de datos y la seguridad de los datos. Los dos términos se suelen utilizar indistintamente, pero su significado no es exactamente el mismo. Aquí están las dos definiciones:
- Definición de protección de datos:
La protección de datos se ocupa de garantizar el derecho que tiene cada ciudadano de autodeterminarse en cuanto a la información y su protección frente al mal uso de sus datos personales. La cuestión de qué datos se pueden recoger y procesar es parte de la protección de datos.
- Definición de seguridad de datos
La seguridad de datos se ocupa de las medidas técnicas y organizativas para proteger los datos corporativos y administrativos. Determina y establece medidas para la protección de esos datos. El término seguridad de la información incluye cualquier tipo de datos almacenados.
La seguridad de datos define objetivos globales
Ya se trate de datos personales o datos sobre desarrollo, producción o clientes, la seguridad de los datos debe tener en cuenta varios aspectos para evitar que los datos se conviertan en un objetivo atractivo para los hackers o los ciberataques. Teniendo esto en cuenta, hay que definir objetivos amplios para cubrir las necesidades en todos esos aspectos.
Los objetivos más importantes de la seguridad de los datos son:
- Prevenir la mala utilización de los datos, por ejemplo que puedan ser dañados, borrados o robados.
- Una protección óptima contra ataques externos, como los ciberataques
- Protección cuidadosa de los accesos internos, regulando los derechos de acceso de los empleados. La confidencialidad es importante
- Sin entrar en conflicto con lo anterior, todos los datos de la empresa deben ser accesibles y estar disponibles en todo momento
- Naturalmente, hay que garantizar también la autenticidad de los datos
- Finalmente, la integridad de los datos asegura que los datos no sufran daños o modificaciones
Los conceptos y las medidas profesionales son de importancia capital
Es necesario considerar medidas y conceptos estratégicos de la seguridad de datos, que incluyan todos estos objetivos desde un punto de vista global. Esto es fundamental, porque los expertos en IT saben por experiencia que “cuantas más cosas puedas hacer, más cosas pueden hacerte”. En otras palabras: Si esos datos te son muy útiles a ti, también pueden serles muy útiles a otras personas.
Las estructuras IT de hoy en día son complejas. Muchos negocios utilizan flujos de trabajo que traspasan fronteras e implican un uso internacional de datos.
Las PYMEs se están ajustando poco a poco a esta nueva situación, creciendo y trabajando cada vez más eficientemente. Pero los nuevos métodos de trabajo y producción las están haciendo también más vulnerables.
Medidas para la seguridad de los datos: ¿Conoces estos cinco niveles?
Las medidas que hay que tomar para una aproximación global incluye los siguientes cinco puntos, que siempre hay que considerar cuando se trata de seguridad:
-
Ciberseguridad
Incluye medidas de seguridad como por ejemplo un cortafuegos (firewall). Los cortafuegos son sistemas de seguridad que protegen redes de ordenadores u ordenadores individuales contra accesos no deseados. Este nivel incluye también tecnología de encriptación de datos.
-
Seguridad de usuario (end point)
Incluye protección de acceso mediante palabra clave, antivirus y antispam.
-
Tecnología de autenticación
Es importante que los datos de la empresa estén protegidos con controles de acceso seguros.
-
Protección contra pérdida de datos
Hay muchas situaciones que pueden ocasionar pérdida de los datos: Ciberataques, apagones, cortocircuitos o incendios. Las causas de esas pérdidas pueden analizarse posteriormente mediante protocolos y análisis de los registros (logs), y el software de copia de seguridad (backup) nos garantiza que hay copias seguras de todos los datos.
-
Seguridad e intercambio de datos
El intercambio seguro de datos es indispensable para la comunicación y la colaboración con socios y clientes.
Un buen concepto de la seguridad siempre considera el factor humano
Las amenazas a la seguridad no se limitan al malware y a los hackers. Un concepto amplio y profesional de la seguridad incluye también formación para los empleados.
El factor humano es un punto débil, entre otras razones porque una falta de conciencia de los temas de seguridad nos conduce a abrir archivos vinculados infectados con malware o a hacer clic en enlaces peligrosos.
Todos los empleados de una empresa deben entender, especialmente en tiempos de crecimiento rápido, que la seguridad de los datos es un factor esencial en el éxito de la empresa, ya trabajen en compras, ventas, atención al cliente o desarrollo. Es importante que todos estén familiarizados con los estándares de seguridad de datos de la empresa y que sepan qué hacer si se presenta un incidente crítico de seguridad.
Una estructura IT transparente es muy importante
El prerequisito básico para una seguridad de datos que funcione perfectamente es una infraestructura clara y transparente.
Las siguientes áreas son especialmente importantes para una infraestructura IT bien planeada:
- Servidores propiedad de la empresa y centros de datos protegidos
- Soluciones en la nube
- Seguridad / Protección contra fallos / Protección contra fallos de sistema
- Análisis de riesgos / Análisis de necesidades de protección, gestión de autorizaciones, seguridad de usuarios, control de dispositivos móviles
- Red / Seguridad de red
¿Quieres saber más sobre la infraestructura IT de tu empresa?
Haz el test
Lista de Preparación Job Wizards. En teoría, la infraestructura IT se planifica como una ciudad, con plazas centrales y un tráfico fluido, pero en muchas PYMEs el hardware y el software forman una estructura compleja. ¿Cuál es la situación en tu empresa? Haz un resumen inicial con nuestro test.
Las medidas de seguridad de datos también necesitan bomberos: Hay que asegurar el futuro con respuesta a incidentes
Las PYMEs pueden considerarse bien preparadas si están listas para actuar tan rápido como sea posible en caso de una emergencia o un ciberataque. Para ello, hay que establecer procesos estratégicos de respuesta a incidentes. En caso de ataque, se puede detectar más rápidamente el malware y se puede limitar el daño que produzca.
Tras un ataque, necesitaremos expertos competentes en IT para contener los daños. Estos expertos utilizan métodos forenses y medidas para detectar los puntos vulnerables que han puesto a la empresa en esa desafortunada situación. Además, analizan los sistemas infectados para descubrir el mecanismo del ataque. Atendiendo a ese análisis, pueden desarrollar una estrategia para mejorar la protección de los datos en el futuro.
Las PYMEs que efectúan de tanto en tanto inspecciones aleatorias de las medidas de seguridad de datos y de sus sistemas tienen más posibilidades de mantenerse seguras. Así, protegen sus datos a largo plazo y se puede estimar en cualquier momento el estado de seguridad de la empresa.