Por Karlene Berger, Forcepoint Security Labs
Muchos profesionales de TI y de seguridad están dedicando tiempo en prepararse para GDPR, comunicando los cambios hechos a sus políticas de información y de privacidad, e instituyendo distintos procesos para el manejo de los datos personales. Con frecuencia, la conversación de esos equipos gira alrededor de los desafíos de gestionar los datos personales de una manera que proteja la privacidad y que, al mismo tiempo, sigan ajustándose a las políticas y tecnologías de la organización.
Además, junto con los desafíos de tener que apoyar el crecimiento de una empresa o de mejorar la forma en que atiende y brinda servicios a su actual base de clientes, la carga de trabajo alrededor de los datos personales va en aumento. Tengo la fortuna de haber trabajado en una tecnología de Forcepoint que se enfoca directamente en evitar la fuga de datos y mantener segura la información personal mientras se promueve la eficiencia a través de la automatización. Me complace anunciar que Dynamic Data Protection ya se encuentra disponible.
DDP comienza por entender y modelar el comportamiento básico de su organización. A partir de ahí, usted puede detectar el momento en que se comprometen las credenciales, o cuando alguien pudiera desconocer las prácticas para el manejo seguro de datos.
Por ejemplo, si el departamento de TI ha habilitado una herramienta de colaboración basada en la nube para administrar datos confidenciales entre los miembros autorizados del equipo, la mejor práctica es gestionar y almacenar dicho contenido a través de la nube. Ellos pueden tener acceso a los archivos más recientes y colaborar en ellos a medida que pasa el tiempo.
Supongamos que se integra un nuevo miembro al equipo, quien viaja con frecuencia, y maneja varias copias locales en su dispositivo final, e intenta repetidamente mover copias a un medio removible (USB). Tal vez nunca aprenda a utilizar y tener acceso a la aplicación en la nube. En este caso, las soluciones tradicionales responderían restringiendo el movimiento de datos al dispositivo o los medios, o enviando una serie de alertas que los equipos de seguridad tienen que seleccionar y resolver.
El punto en el que Dynamic Data Protection cambia el juego es cuando calcula las calificaciones de riesgo para las personas que tienen acceso a los datos en esta aplicación basada en la nube. Cuando los niveles de riesgo son bajos, los permisos de protección de datos pueden ser más abiertos, y cuando se elevan, dichos permisos pueden ser más restrictivos.
Esto permite que se aplique la política de seguridad adecuada de acuerdo con el perfil de la persona en el momento oportuno, automatizando la ejecución y reduciendo las alarmas de protección de datos. En el ejemplo del nuevo empleado mencionado anteriormente, podría permitirle copiar la información a su dispositivo, pero activar restricciones respecto al movimiento de materiales a los medios removibles, evitando la fuga e informando sobre la seguridad de este tipo de comportamiento de alto riesgo.
Esto puede cambiar considerablemente la manera en que una solución de seguridad maneja la protección de datos, ayudar a detectar anomalías oportunamente, y mejora la eficiencia gracias a que hay menos alertas que gestionar. Asimismo, puede ayudar a las organizaciones de TI a capacitar y asesorar a los empleados sobre cómo manejar y gestionar los datos de manera segura. Esto a su vez le da a su equipo de trabajo el equilibro que necesita para proteger los datos críticos, permitir crecer a la organización, e incluso darle un descanso.