Gestión bases de datos: Evita la fuga de datos en tu empresa
Autor: Eduard BardajíLos datos, documentos e información en general son los activos más importantes y valiosos para las empresas. Estos aportan información confidencial o sensible, tanto de la propia empresa como de sus clientes y la fuga (robo) de éstos puede suponer un grave problema para la empresa como por ejemplo: Crisis de reputación, pérdidas económicas, fuga de clientes, etc.
Por tanto, la recopilación, clasificación y consulta de dichos datos debe realizarse y tratarse rigiéndose por unas normas de uso y tratamiento determinadas.
Estos datos se encuentran recopilados mayoritariamente en bases de datos para facilitar su gestión y almacenamiento, pudiendo organizarlos y localizarlos de forma fácil, por ejemplo por segmentos. Un método muy útil para los diferentes departamentos de la empresa.
Importancia de una buena gestión de la base de datos: Ley de Protección de Datos
En 2018 se aprobó el Nuevo Reglamento de Protección de Datos (RGPD) que obliga a cualquier empresa (independientemente de su tamaño) de velar por su correcto tratamiento y protección de los datos.
Este Reglamento obliga a las empresas a:
-
Garantizar la integridad de los datos de los usuarios: No pueden ser utilizados por terceros no autorizados.
-
Obtener el consentimiento de los usuarios por su recopilación y tratamiento (envío de información comercial).
-
Informar al usuario de sus derechos ARCO (Acceso, rectificación, cancelación y oposición). Es decir, el usuario podrá dar de baja sus datos de una base de datos siempre que lo desee y en cualquier momento, así como, especificar que no quiere que sean utilizados o tratados por terceros.
Entre otras obligaciones que puedes encontrar detalladamente en el BOE.
Para cumplir con el RGPD, es importante gestionar correctamente las bases de datos de tu empresa para evitar la fuga o robo de estos y vulnerar dicha ley.
Medidas y recomendaciones para evitar la fuga de datos
El tratamiento de los datos es una de las principales cuestiones a tener en cuenta si quieres garantizar la integridad de los datos de tus clientes, evitando fuga de datos que puedan poner en peligro su información, pero también a tu empresa.
Importantísimo, desarrolla una estrategia de ciberseguridad
Una estrategia de ciberseguridad sirve para desarrollar un protocolo de seguridad informática en tu empresa, es decir, establecer todas aquellas soluciones de ciberseguridad que integrarás en tu empresa para evitar la entrada de malware en tu sistema y cualquier tipo de ciberataque.
Contar con firewalls, endpoints, soluciones antiphishing… Son algunas de las soluciones que deberías disponer en tu empresa, para evitar que ciberdelincuentes puedan acceder a tu infraestructura IT y robar información confidencial de tu empresa, para pedir un rescate económico para su recuperación.
Rastrea periódicamente las brechas de seguridad de tu empresa
La monitorización periódica de tus sistemas te permitirá conocer las brechas de seguridad que puede tener tu infraestructura IT, pudiendo así, solventarlas antes de que un ciberdelincuente consiga traspasarlas.
En ESED hemos desarrollado un test de 5 minutos, para que puedas conocer el nivel de seguridad informática de tu sistema. Puedes realizarlo pinchando en el siguiente banner.
¿Guardar tus contraseñas en un Excel? Ni se te pase por la cabeza
Son muchas empresas las que todavía no utilizan un gestor de credenciales y guardan sus contraseñas en un excel. Para los ciberdelincuentes, acceder a dichos documentos no tiene ninguna complicación, provocando que puedan conseguir las credenciales de forma fácil y rápida y sin que te enteres, hasta que hayas padecido un ciberataque o fuga de datos.
Disponer de un gestor de credenciales es la solución más recomendable para proteger tu información.
Que no se te olvide desarrollar un Disaster Recovery Plan
Un Disaster Recovery Plan o un plan de recuperación es un documento desarrollado por la empresa, que sirve para establecer protocolos de actuación frente a ciberataques. Se trata de determinar cómo va a proceder la empresa para minimizar los daños y recuperar la normalidad en el mínimo tiempo posible y al menor coste.
Copias de seguridad o backups periódicas, por favor
Los ciberdelincuentes cuando atacan un sistema es para obtener información y pedir un rescate económico a cambio de devolverla (cosa que no pasa nunca). Disponer de copias de seguridad permite poder recuperar la información de forma inmediata, sin caer en los chantajes de los ciberdelincuentes.
Disponer de tu información en la nube no significa que tengas copias de seguridad de tu información. Te recomendamos que asignes a un responsable de dichas copias de seguridad y que las realice de manera periódica sino puedes automatizarlas. Muchas soluciones cloud ya te ofrecen este servicio totalmente automático.
Controla muy bien los accesos a la información
¿Es necesario que tus empleados tengan acceso a toda la información de la empresa? Cuantas menos personas puedan acceder a determinados datos, más seguros estarán. Para ello, puedes asignar a un responsable que se encargue de dar y quitar permisos para la consulta, almacenamiento y tratamiento de la información, para que solo aquellos empleados que de verdad la necesiten, tengan acceso a ella. Una manera de evitar que terceros no autorizados puedan acceder a dicha información con fines ilícitos.
Cuenta con la ayuda de un IT (sea interno o externo)
Disponer de un departamento IT, sea externo o interno, te dará garantías de que tus sistemas e infraestructura IT estén siempre protegidos, porque estarán en manos de expertos que sabrán en todo momento cómo actuar, sea ante la amenaza de un ciberdelincuente o cuando el sistema ha sido atacado.
ESED, tu departamento IT externalizado
Hemos creado una metodología precisa que llamamos ESED Defense y que consta de tres pilares: ESED Attack, ESED Control y ESED Training.
ESED Attack
Lo primero que hacemos es lanzar ataques controlados al sistema para descubrir vulnerabilidades y brechas de seguridad para poder implementar las medidas de ciberseguridad requeridas (antiphishing, endpoints, realización de backups, cifrado de contraseñas, firewalls…).
ESED Control
También implementamos un sistema que ayuda a cifrar la información para que sólo aquellos que tú decidas tengan acceso a esta, además de saber en todo momento quién ha accedido por última vez o ha manipulado.
ESED Training
Por último, uno de los puntales de hoy en la defensa informática es el entrenamiento de los empleados que cada día entran en el sistema. Nos encargamos de entrenar a tu equipo para que sepan cómo detectar amenazas antes de que estas infecten tu infraestructura IT.
Aquí te dejamos uno de nuestros casos de éxito para que te hagas una idea más aproximada de cómo podemos proteger tus bases de datos.
Para más información puedes contactar con nosotros en el siguiente enlace.