Editor en La Ecuación Digital. Consultor de Innovación y Estrategia…
Los inesperados y acelerados cambios en la forma de trabajar durante la pandemia han provocado que muchas empresas no dispongan de los equipos de protección adecuados para evitar fuga de datos. De hecho, en 2020 la Agencia Española de Protección de Datos (AEPD) notificó un total de 1.370 brechas de seguridad de datos personales, lo que supone un aumento del 150% en solo dos años, ya que en 2018 se registraron 547.
Uno de los sectores más afectados ha sido el sanitario con un coste medio por brecha de datos valorado en 5,88 millones de euros, según detalla el informe Data Breach Report publicado por IBM.
En el caso de las compañías, el Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa publicado por la ONTSI (Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información) el pasado mes de mayo, refleja que el 23 % de las grandes empresas en España ha sufrido algún incidente de seguridad durante el último año, frente al 12% de las pymes.
Aunque las consecuencias de una fuga de datos son similares para cualquier tipo de organización, sí se aprecian diferencias en función de su origen e intencionalidad ya que alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado «factor humano», como afirma un informe elaborado por la consultora PwC.
Según su origen, existen tres tipos: las fugas accidentales, aquellas en las que los empleados de forma involuntaria realizan actividades que no están permitidas por la compañía, provocando una fuga; las comprometidas, en este caso el desconocimiento puede llevar a los empleados a ocasionar un incidente por haber sido comprometidos por un ataque externo, y las maliciosas, aquellas en las que de forma intencionada y premeditada se vulnera el sistema para acceder a la información confidencial.
Conscientes del aumento de estas fugas de datos, desde Ironhack han elaborado una guía con 4 consejos clave para reducir el riesgo de fugas así como su alcance:
- Clasificar la información por su importancia. La información de la compañía debe estar gestionada y clasificada por una serie de criterios razonables para determinar el grado de seguridad que le corresponde. La clasificación se puede realizar según su nivel de confidencialidad y teniendo en cuenta diversos factores como el valor que tiene para la organización, el impacto que puede provocar su filtración, si se trata de información personal o no, el nivel de sensibilidad…
- Aplicar herramientas base de seguridad interna. Los cortafuegos son algunas de las herramientas indispensables para bloquear amenazas, a pesar de ser uno de los firewalls más antiguos. Otro método al que recurren muchas empresas es el antivirus, un programa esencial a la hora de detectar infecciones que tiene la capacidad de adaptarse a las necesidades de cada usuario. Para supervisar y recopilar información de todas las aplicaciones en diferentes puntos de la red está la herramienta de monitoreo a distancia que permite al equipo de TI resolver, sin importar el lugar o la hora, el incidente en cuestión.
- Evaluación de los permisos de seguridad. Es recomendable aportar a cada empleado el acceso a la documentación que le corresponda acorde a sus tareas diarias. De esta forma, la compañía puede controlar mejor las fugas y evitar que los trabajadores accedan a datos confidenciales. Para que la actividad sea eficaz, es imprescindible revisar los permisos con cierta periodicidad para saber quién tiene acceso a qué. Como valor añadido, es interesante aportar un sistema de alertas para saber si algún empleado actúa fuera de lo normal, consulta a un elevado número de documentos o accede a información restringida.
- Formar a los empleados. El teletrabajo ha sido uno de los principales detonantes para que las empresas tomen conciencia de la importancia de preparar a sus empleados y evitar así fuga de datos. De hecho, con el objetivo de anticiparse a estas incidencias, las compañías están apostando por programas de concienciación para formar a sus trabajadores en las habilidades necesarias para identificar posibles ataques cibernéticos. Pero eso no es todo, las compañías apuestan cada vez más por perfiles especializados en ámbitos como Big Data o Ciberseguridad. Según la Guía Salarial Hays 2020, la demanda de estos perfiles cualificados sigue aumentando, pero el número de candidatos disponibles no crece al mismo ritmo. Desde Ironhack ofrecen bootcamps en estas áreas, tanto en formato presencial como remoto, para disminuir esta brecha.