Las empresas de todos los sectores operan con datos de los consumidores. Además de ser necesarios para completar las funciones comerciales diarias, estos datos se pueden utilizar para mejorar las experiencias de los clientes, descubrir nuevas oportunidades e informar las decisiones estratégicas a largo plazo. Dentro de los límites de las oficinas corporativas, sus redes y dispositivos seguros, y sus herramientas de privacidad de datos heredadas, los datos sensibles de los consumidores siempre han estado altamente protegidos. Pero, como ocurre con muchas cosas, todo esto cambió con la pandemia de COVID-19.
Protección de datos en los dispositivos finales antes y ahora
Típicamente, las medidas de seguridad de los dispositivos finales siempre han actuado como una capa para proteger los dispositivos personales que acceden a datos sensibles en una red empresarial. Después de marzo de 2020, cuando la pandemia realmente se hizo presente y envió a los empleados a casa en masa, los equipos de seguridad de la información tuvieron que esforzarse por fortalecer la protección de datos en los dispositivos finales en computadoras portátiles y sistemas operativos para evitar que los datos sensibles quedaran expuestos a compromisos. Con el trabajo remoto aún tan prevalente, incluso en industrias cuyos datos están altamente regulados, la necesidad de protección de datos en los dispositivos finales solo se ha intensificado. Además de los ciberataques, hay otra amenaza aterradora que se debe evitar: las multas por incumplimiento de normativas.
Echemos un vistazo a algunas de las industrias que podrían perder más por una violación de cumplimiento.
Servicios financieros
Los empleados de bancos, compañías de tarjetas de crédito, servicios de preparación de impuestos y empresas de inversión o préstamos trabajan diariamente con datos financieros sensibles. En el entorno actual de trabajo remoto, esto significa que la información regulada por legislaciones como la GLBA y PCI-DSS, como números de cuentas bancarias y tarjetas de crédito, historiales crediticios y números de Seguro Social, se procesa, descarga y guarda constantemente en dispositivos finales. Cuando se olvida o desconoce la presencia de estos datos, es probable que tampoco se estén protegiendo adecuadamente. Esto no solo aumenta el riesgo de compromiso, sino que el hecho mismo de no proteger datos como los de las tarjetas de pago viola el PCI-DSS y puede resultar en multas de hasta $500,000 por incidente. Las multas de la GLBA cuestan un poco menos, hasta $100,000 por violación.
Salud
Las compañías de seguros de salud, las farmacias de entrega a domicilio e incluso los proveedores de atención médica trasladaron sus operaciones a entornos remotos como resultado de la pandemia. Si tuviste una visita de telemedicina con tu médico, considera que los datos sensibles se transmitieron en un dispositivo final. Si bien la industria de la salud ya estaba en camino de transformar digitalmente procesos como la facturación y los pagos, el cumplimiento de recetas y el mantenimiento de bases de datos de registros de salud, la pandemia ciertamente lo aceleró. HIPAA requiere que cualquier organización que maneje información de atención médica directamente o esté asociada con una compañía de atención médica, como empresas de otros sectores que ofrecen seguro de salud a los empleados, tenga medidas para proteger la información digital personal de atención médica (PHI). Estas medidas incluyen el cifrado, los controles de acceso y la monitorización. En cuanto a los dispositivos finales, si se utilizan para acceder o procesar PHI, también deben contar con estas medidas de protección. Si un dispositivo final que contiene PHI se viera comprometido, la multa por violación podría oscilar entre $100 y $1.5 millones, dependiendo del nivel de sensibilidad de los datos comprometidos.
Educación
Las instituciones de educación superior tienen todo tipo de datos sensibles en sus archivos, incluidos los registros de salud de estudiantes y profesores, información bancaria y de tarjetas de crédito y registros académicos de los estudiantes. Además de HIPAA y PCI-DSS, las universidades y colegios están sujetos a FERPA. FERPA protege la información académica de los estudiantes, como calificaciones y asistencia, además de información personal identificable como nombres y direcciones, para que no se publique sin su consentimiento. Si bien ninguna institución ha sido procesada por una violación de FERPA, el cambio a tomar clases y trabajar de forma remota a través de dispositivos finales ha creado más riesgo para las instituciones de educación superior. Con información sensible que se mueve de una computadora portátil a otra a través de redes no seguras, así como la introducción de nuevas plataformas para manejar operaciones comerciales de forma digital, muchas universidades y colegios se han convertido en objetivos fáciles tanto para los delitos cibernéticos como para las amenazas internas inadvertidas.
Recursos humanos
Los procesos de contratación y otros procesos de recursos humanos, que son minas de oro para todo tipo de datos sensibles, se trasladaron en línea debido a la pandemia. Muchas empresas vieron esto como una oportunidad para buscar talento en diferentes estados, ¿y por qué no? Pero también significó que los datos personales de los empleados estaban protegidos por las regulaciones de privacidad de sus estados, y las empresas estaban, y están, sujetas a las correspondientes multas por incumplimiento. Por ejemplo, cualquier empresa con empleados que residan en California debe cumplir con la Ley de Privacidad del Consumidor de California, que, a pesar de su nombre, también protege los registros de los empleados. Si la información personal sensible de un empleado se viera comprometida y la empresa fuera culpable, se le exigiría compensar financieramente a ese empleado por los daños. Además, las empresas deben respetar el derecho de solicitar acceso o eliminación de información personal garantizado por la CCPA. Con los dispositivos finales en juego, es fácil duplicar y olvidar información personal, y aunque no sea intencional, esto sigue siendo una violación. Además, los datos olvidados probablemente no estén protegidos adecuadamente y pueden ser fácilmente comprometidos. A medida que el trabajo remoto continúa, también lo hará la contratación digital, y es importante proteger la información sensible que se transmite de un dispositivo final a otro en el proceso.
Cómo fortalecer la protección de datos en los dispositivos finales
Ahora que sabes por qué la protección de datos en los dispositivos finales es más importante que nunca, aquí te mostramos cómo puedes fortalecer tus propios esfuerzos.
Promueve la conciencia sobre la seguridad de los dispositivos finales entre todos los empleados
Los empleados deben comprender lo que está en juego para asegurarse de que están trabajando desde dispositivos finales de la manera más segura posible. Comunica las acciones y comportamientos que podrían poner en riesgo los datos sensibles, como trabajar desde redes públicas u otras redes no seguras, iniciar sesión en una cuenta de trabajo desde un dispositivo nuevo o desconocido, caer en un ataque de phishing o simplemente descargar datos y no desecharlos correctamente una vez que ya no sean útiles.
Implementa una solución de gestión del ciclo de vida de los datos
Una solución de gestión del ciclo de vida de los datos (DLM) es una de las herramientas más efectivas para proteger los datos en los dispositivos finales. Puede descubrir de manera precisa los datos dondequiera que se encuentren en tu organización, desde computadoras portátiles y repositorios en la nube hasta sistemas operativos y aplicaciones de terceros. Después del descubrimiento, una solución de DLM clasifica los datos según su nivel de sensibilidad para que puedan protegerse de acuerdo con los estándares regulatorios y ser monitoreados continuamente por los equipos de TI y gobierno. Por último, una solución de DLM puede remediar cualquier dato que se haya duplicado o modificado en los dispositivos finales y destruir de manera segura los datos que ya no sean útiles para ayudar a mantener el cumplimiento, asegurándose de que no se conviertan
