¿Has intentado implementar un producto de cifrado pero renunciaste? No te rindas. Sin el enfoque adecuado, proteger los datos de tu empresa te parecerá difícil. Y si la mitad de tu empresa trabaja remotamente y utiliza dispositivos no cifrados, incluso un teléfono robado puede poner en peligro tu empresa.
Las vulneraciones de datos y los daños resultantes en la reputación han llevado al sector de las pymes a empezar a adoptar el cifrado incluso antes de la llegada del RGPD. Pero el segmento de las pymes es enorme y abarca un amplio espectro de niveles de madurez en ciberseguridad y de conceptos de control de datos.
En el RGPD, la protección de los datos personales de clientes y empleados es una responsabilidad legal de los propietarios de empresas y operadores de TI. Este reglamento, con sus sugerencias de cifrar, anonimizar o destruir los datos (tras su uso por la empresa), junto con cifras en constante crecimiento de vulneraciones de datos, ha llevado a las pymes a implementar tecnologías de protección de datos.
Sin embargo, en la premura por proteger los datos de la empresa, a veces se omite una correcta verificación de los productos y las mejores prácticas al implementar las soluciones. Con tiempo limitado para investigar en el mercado, además de la realidad de buscar en un mercado saturado por una selección de productos inmensa, para los propietarios y otras personas que deben tomar estas decisiones sigue siendo un reto encontrar el producto idóneo para sus necesidades.
Si tienes que tomar esta decisión, asegúrate de responder a las siguientes preguntas:
1. ¿Qué dispositivos presentan un mayor riesgo? ¿Los que están en la sede de la empresa o los que están fuera?
Empecemos por los ordenadores portátiles, ya que pueden considerarse una infraestructura física fundamental para muchas pymes. Lo que vamos a decir a continuación puede parecer una obviedad, pero hay que ser conscientes de que los dispositivos son más susceptibles al robo cuando no están en la oficina. Tener esto en cuenta es la manera correcta de empezar a buscar la mejor solución. Asegúrate de probar la efectividad de la solución en la gestión de situaciones problemáticas para tus usuarios remotos. Si estás satisfecho con su rendimiento cuando lo usan usuarios remotos, como mínimo ya habrás creado una lista de preselección de productos.
2. ¿Por qué es importante que el producto esté bien diseñado?
Diseño y función están interconectados. La capacidad de modificar rápidamente la política de seguridad, las claves de cifrado, las prestaciones y la operación de cifrado de endpoints no siempre supone que tu política establecida sea por igual potente y segura. Las excepciones pueden aplicarse solo cuando y donde sea necesario y revertirlas fácilmente si fuera necesario. Si no pudieras aplicar prestaciones de este tipo, te verás forzado a dejar «una llave debajo del felpudo», por si acaso. Y eso sería como hacer agujeros en tu política de seguridad antes de que la implementación haya terminado.
3. ¿Qué opciones hay de bloqueo y borrado remotos de ordenadores portátiles?
Este problema podría llegar a ser crítico si robaran un ordenador portátil de la empresa con cifrado total del disco mientras estaba en modo de suspensión o con el sistema operativo iniciado. Es incluso peor si esos sistemas llevan una etiqueta con la contraseña de prearranque enganchada en el ordenador portátil o metida en la bolsa. Si no dispones de una función de bloqueo o borrado remotos, el sistema estará desprotegido o protegido solo por la contraseña de la cuenta del usuario. En ambos casos, el cifrado queda expuesto e inutilizado.
Asimismo, es importante saber si la solución se ha diseñado para admitir los casos de uso típicos que, si no, podrían desproteger una política de seguridad bien diseñada.
4. Soporte extraíble: La solución ¿puede proteger sin incluir en una lista blanca cada elemento?
La diversidad de dispositivos en uso de escritura y grabación para el trabajo diario hace que sea casi imposible para los administradores incluirlos a todos en una lista blanca, o decidir si se permite leer o escribir en ese dispositivo. Es mucho más fácil establecer una política en el nivel de archivo, que distinga entre los archivos que deben cifrarse y los que no. Los archivos que se seleccionen estarán protegidos cada vez que se muevan desde una estación de trabajo o una red corporativa a un dispositivo portátil. De este modo, si conectas una memoria USB personal, la solución no te fuerza a cifrar tus datos personales. Por otra parte, todos los archivos que se copien desde el sistema de tu empresa se cifrarán. Es una idea muy sencilla, pero que hace que cualquier dispositivo esté protegido sin necesidad de incluirlo en una lista blanca.
En definitiva, la flexibilidad y la facilidad de uso son las características que aseguran el éxito de la implementación de una tecnología de cifrado de endpoints. Por lo tanto, tendrás que definir si la solución que quieres utilizar es realmente fácil de implementar. Si la configuración lleva demasiado tiempo y se necesitan herramientas adicionales para el funcionamiento, simplemente será un dolor de cabeza para los administradores del sistema y creará nuevos riesgos de seguridad.
SUGERENCIA: Selecciona una solución fácil de implementar que no necesite conocimientos avanzados de IT y que ahorrará tanto finanzas como capacidad de recursos humanos. Si esa implementación fácil genera una experiencia positiva para el usuario, el personal de IT no se verá sobrecargado por bloqueos de usuarios, datos perdidos y otras frustraciones.
Los productos comerciales de cifrado validados llevan tiempo demostrando ser suficientemente potentes. Sin embargo, un número significativo de las vulneraciones de datos registradas implicaban la pérdida o el robo de ordenadores portátiles y unidades USB producidas en las propias organizaciones que habían adquirido e instalado productos de cifrado. Las observaciones archivadas sobre esos incidentes revelan que los desafíos clave son que la solución se pueda ajustar a tu entorno y formas de trabajar, así como que sea fácil de usar para los usuarios cada día.