Una de las grandes vulnerabilidades de ciberseguridad que existen hoy en día es el acceso a la información empresarial por parte de los colaboradores, proveedores, etc. Por ello, las empresas están focalizando sus esfuerzos en entender el proceso de cómo limitar quién tiene acceso a los datos de la empresa sin poner barreras que afecten la productividad.
Por ejemplo, si hay un área con acceso a información confidencial acerca de un proceso específico, es probable que no todo el departamento deba tenerlo, solo personas estratégicas. En el pasado, las empresas solían configurar un recurso compartido de archivos por área, y ese departamento guardaba todas las carpetas para que cualquiera pudiera acceder a los datos. Sin embargo, eso puede crear un riesgo de seguridad y aumenta la exposición a amenazas internas y externas.
Entonces ¿qué pasos debes tomar para comenzar a organizar los accesos?
- Descubrir: la mayoría de las empresas tienen una gran cantidad de datos heredados. Estos archivos se distribuyen a través de varios medios diferentes, incluyendo las múltiples plataformas en la nube (OneDrive, Dropbox y Google Drive). Asegúrate de tener en cuenta todos estos servicios de almacenamiento cuando consideres crear un programa de control de acceso a datos. Una comprensión completa de dónde van y vienen todos los archivos es crucial.
- Recopilar y analizar: una vez identificados todos los datos, se deben recopilar y analizar para responder algunas preguntas críticas. ¿Qué tan sensible es la información en este conjunto de datos? ¿Quién tiene acceso? ¿Quién es el propietario de estos archivos? Analizar estos datos y determinar las respuestas a estas preguntas da a la organización una mejor idea del alcance que debe cubrir su programa de gobernanza de acceso a datos.
- Monitoreo: el siguiente paso es monitorear la actividad del usuario. Al monitorear cómo los usuarios acceden e interactúan con los datos, la organización puede comprender si la forma en que usan esos datos es segura y productiva.
- Reestructurar: puede haber un punto en el que, revisando los datos, se descubra que, no solo necesitas limpiarlos, sino que también deben reestructurarse de una manera que tenga más sentido para la forma en que opera la organización. Reestructurar el acceso para lograr los principios de privilegios mínimos y posicionar a la organización para una gobernanza eficaz.
- Gobernanza: Crear un proceso de acceso para garantizar que se cumplan los estándares de seguridad y cumplimiento. El objetivo final debe ser que los datos estén protegidos y puedan ser utilizados por las personas adecuadas, sin que se pueden transferir fuera de la organización, ni se pueden utilizar después de un cierto período de tiempo.
¿Qué tecnologías existen para ayudarte a tener una óptima gestión de accesos?
Ya establecimos que es importante que alguien en marketing tenga diferentes niveles de acceso a archivos que una persona que está en ingeniería o en contabilidad Las tecnologías de gestión de identidades te ayudarán a configurar la estructura para todos los derechos, roles y cómo las personas obtienen acceso a diferentes sistemas.
Después de implementar estas tecnologías, la empresa podrá decir: «Esa persona en contabilidad tiene acceso a estos archivos porque tiene estos derechos, roles y responsabilidades». Al hacerlo, se crea una imagen más completa de la identidad y la postura de riesgo de esa persona dentro de una organización.
¿Cuáles son los errores que cometen las organizaciones con respecto al acceso a datos?
Uno de los grandes errores que puedes cometer cuando buscas implementar políticas de acceso a datos es asumir demasiado a la vez.
Controlar y monitorear los datos es una de las tareas más difíciles de hacer en una organización, porque hay muchos archivos y formas de evaluarlos. Antes de decidir qué tecnologías se adquirirán para organizar el acceso a los datos, es importante comprender la perspectiva de riesgo de la organización, estructurar el proyecto en hitos razonables, limpiar los datos y, consultar con empresas con experiencia para una implementación exitosa.
Por Marco Fontenelle, General Manager de Quest Software, Latinamerica.