protección de los datos y dispositivos de los usuarios en ... · en la era del negocio digital,...

9
Protección de los datos y dispositivos de los usuarios en la era del negocio digital Las empresas del mercado del segmento intermedio deben implementar métodos de seguridad para adaptarse a los nuevos estilos de trabajo

Upload: others

Post on 29-Feb-2020

7 views

Category:

Documents


0 download

TRANSCRIPT

Protección de los datos y dispositivos de los usuarios en la era del

negocio digitalLas empresas del mercado del segmento intermedio deben implementar métodos

de seguridad para adaptarse a los nuevos estilos de trabajo

Protección de los datos y dispositivos de los usuarios en la era del negocio digital2

IntroducciónEn la era del negocio digital, una fuerza de trabajo altamente productiva es esencial. En la actualidad, los expertos en el tema de las empresas del mercado del segmento intermedio son trabajadores móviles y, a menudo, trabajan desde ubicaciones remotas. Para lograr el nivel de productividad que sus empresas exigen, esos expertos deben y esperan colaborar con colegas e interactuar con clientes y socios dondequiera que se encuentren en el mundo, de manera segura y en cualquier momento del día o de la noche.

Antes de la era digital, los empleados pasaban sus días en un edificio con oficinas y el perímetro de seguridad era el propio edificio. Pero con una fuerza de trabajo que a menudo es móvil o remota, las ideas tradicionales para la defensa perimetral ya no son relevantes. Los tomadores de decisiones tecnológicas enfrentan un reto formidable: se debe implementar la seguridad para cada usuario y cada dispositivo en toda la empresa, no solo en una red de área local dentro de las paredes de un solo edificio.

Para aclarar los problemas de seguridad que enfrentan los tomadores de decisiones de tecnología en las empresas del mercado del segmento intermedio, Dell EMC encargó un estudio que constituye el asunto de este informe. Este informe lo guiará por los resultados de la encuesta y evaluará su significado.

Tipos de trabajadores Para obtener una imagen precisa de las necesidades de seguridad de datos de los expertos en el tema, los tomadores de decisiones tecnológicas de las empresas del mercado del segmento intermedio se beneficiarán del análisis de sus empleados en términos de cuatro tipos fundamentales de usuarios. Los tipos son flexibles y se superponen hasta cierto punto, y muchas empresas tienen tipos únicos que son híbridos de estos cuatro. La encuesta reveló que los trabajadores se dividen en los siguientes tipos:

1. Los trabajadores de escritorio (70 %) trabajan principalmente en escritorios en una oficina.

2. Los guerreros del corredor (12 %) trabajan principalmente en una oficina, pero se desplazan dentro de la oficina o el piso de fábrica.

3. Los trabajadores remotos (8 %) no trabajan en una oficina, pero están principalmente detrás de un escritorio.

4. Los profesionales viajeros (10 %) son principalmente móviles.

Amenazas de seguridad y exigencias normativas Los estilos de trabajo de hoy aumentan el reto que enfrentan las organizaciones al mantener la seguridad de los datos. Las amenazas continúan creciendo en cantidad, sofisticación y gravedad. Los ataques no solo provienen de hackers aislados, sino también de estados/naciones que se inclinan por el espionaje industrial o el sabotaje cibernético. Mientras tanto, las organizaciones criminales buscan mantener los datos como rehenes a cambio de un rescate y robar información de identificación personal para realizar un robo de identidad.

El phishing (robo de identidad) y el spear-phishing (robo de identidad a empresas específicas) son vectores populares para ataques persistentes avanzados, que pueden permanecer activos en un entorno durante muchos meses. Los ataques que se dirigen al BIOS de las computadoras pueden ser especialmente peligrosos, ya que permanecerán activos incluso después de que se limpie una computadora y se vuelva a instalar el sistema operativo.

Con una fuerza de trabajo que

a menudo es móvil o remota, las ideas

tradicionales para la defensa perimetral ya no son pertinentes.

Protección de los datos y dispositivos de los usuarios en la era del negocio digital3

También hay que protegerse contra los ataques internos, en los que los empleados actuales o anteriores desvían datos. El estilo de trabajo móvil significa que las laptops, los dispositivos 2 en 1, las unidades USB y los teléfonos inteligentes son altamente vulnerables al robo.

Como si todo eso no fuera suficiente, los mandatos normativos ponen un fuerte énfasis en la protección de los datos personales. Por ejemplo, el Reglamento general de protección de datos (GDPR) de la Unión Europea entró en vigencia en mayo de 2018, con severas sanciones por incumplimiento. El GDPR tiene implicancias globales. Cualquier empresa del mercado del segmento intermedio que haga negocios en países de la UE o que tenga ciudadanos de la UE como clientes debe cumplir o, de lo contrario, enfrentará sanciones.

Además del GDPR, las normativas específicas del sector permanecen vigentes. Por ejemplo, las organizaciones del mercado del segmento intermedio en el sector médico deben cumplir con las disposiciones de protección de datos de la HIPAA (Ley de portabilidad y responsabilidad de seguros de salud), y las compañías en los sectores de servicios financieros y minoristas deben cumplir con las reglas del PCI DSS (Estándar de seguridad de datos para el sector de tarjetas de pago) para la protección de datos de tarjetas de pago.

Seguridad y productividad

La mayoría de los tomadores de decisiones de tecnología están bien conscientes de las amenazas de seguridad y han implementado las medidas de protección de datos en sus organizaciones hasta cierto punto. De igual manera, los empleados de las organizaciones del mercado del segmento intermedio suelen eludir los protocolos de seguridad de la empresa. La encuesta reveló que el 37 % de los encuestados a veces trabaja fuera de la seguridad organizacional [consultar tabla a continuación]. Sin embargo, ese número podría ser demasiado bajo, ya que los encuestados se autoevalúan y podrían estar inclinados a no admitir tal actividad.

37%

SíNo

63%

¿Por qué los empleados hacen esto? El 63 % dijo que es la manera más eficaz de realizar el trabajo. En un escenario, un administrador de proyecto puede encontrarse en su casa después de un viaje de negocios y necesita verificar los datos dentro de una aplicación corporativa. Si los protocolos de seguridad corporativa son demasiado engorrosos, es probable que ese administrador los evite y acceda a los datos y la aplicación en un sistema doméstico.

El 37 % de los trabajadores admite que,

a veces, trabaja por fuera de

los protocolos de seguridad corporativa.

¿Trabaja a veces fuera del protocolo de seguridad de su organización?

Protección de los datos y dispositivos de los usuarios en la era del negocio digital4

Curiosamente, la encuesta reveló que el 42 % de los trabajadores opina que su organización o la administración están de acuerdo con este comportamiento [consultar tabla a continuación].

Es la manera más eficaz para realizar el trabajo.

Obtener la aprobación de TI es complicado o tarda demasiado.

Mi organización o administración está

de acuerdo con esto.

La encuesta descubrió una amplia variedad de actividades que se realizaron fuera de los protocolos de seguridad corporativa. El 71 % dice que comparten los datos relacionados con el trabajo mediante el uso compartido de correo electrónico privado o nube privada varias veces al mes. Sin embargo, la frecuencia con la que los encuestados comparten datos mediante una llave USB o un CD con un tercero debe ser un motivo de preocupación. Este comportamiento es una causa frecuente de pérdida de datos y el 62 % indica que lo hacen varias veces al mes [consultar tabla a continuación].

Compartir datos relacionados con el trabajo mediante correo

electrónico privado o cuenta de uso compartido en la

nube privada

Compartir datos mediante una llave USB o un CD con un tercero

Respaldar los datos relacionados con el trabajo en una PC privada, un disco duro

privado o un NAS privado

Instalar aplicaciones ocomplementos de software

para mi productividad sin la aprobación de TI

Producir contenido o datos relacionados con el trabajo

en dispositivos que no están protegidos por TI

Colaboración con información confidencial La colaboración es una actividad esencial para los trabajadores del mercado del segmento intermedio. Dado que los datos suelen compartirse durante la colaboración, la confidencialidad de los datos que se comparten es una preocupación importante. En consecuencia, la encuesta indagó sobre el nivel de confidencialidad de los datos compartidos con mayor frecuencia [consultar tabla en la página siguiente]. En gran medida, el 33 % de los datos compartidos pertenece a las tres categorías principales de confidencialidad (propiedad intelectual crítica o datos altamente regulados, Propiedad intelectual de alto valor o datos regulados, y datos restringidos y valorados).

¿Por qué considera trabajar por fuera del protocolo de seguridad de su organización?

Con qué frecuencia usted:

El 42 % de los trabajadores indica que su organización

o administración acepta que trabajen por fuera de los

protocolos de seguridad.

Protección de los datos y dispositivos de los usuarios en la era del negocio digital5

Propiedad intelectual crítica o datos altamente reguladosPropiedad intelectual de alto valor o datos reguladosDatos confidenciales y estratégicosDatos restringidos y valiosos

Datos internos y confidencialesBaja confidencialidad y perecederosComunes y mundanosPúblicos y no confidenciales

La confidencialidad de los datos compartidos en toda la organización tiende a ser aún mayor. El 40 % de los datos compartidos está en las clasificaciones más confidenciales [consultar tabla a continuación].

Propiedad intelectual crítica o datos altamente reguladosPropiedad intelectual de alto valor o datos reguladosDatos confidenciales y estratégicosDatos restringidos y valiosos

Datos internos y confidencialesBaja confidencialidad y perecederosComunes y mundanosPúblicos y no confidenciales

A menudo, los trabajadores se encuentran en reuniones con equipos de TI, ya sea realizando presentaciones o participando en reuniones de equipo. En estas reuniones, los datos generalmente se comparten y, por esta razón, la seguridad es una preocupación. El 37 % de los trabajadores se reúnen semanalmente para compartir y colaborar en salas de reuniones mediante un proyector o un televisor [consultar tabla a continuación].

DiariamenteAlgunas veces por semana

Algunas veces al mesAlgunas veces cada tres meses

Algunas veces por añoNunca

Con un análisis más profundo, la encuesta reveló que, a pesar de que el uso compartido se lleva a cabo con más frecuencia entre colegas y partes de confianza, el 22 % del tiempo, los posibles clientes y el público, ya sea la prensa o el público en general, participan en el intercambio y la colaboración. Este patrón indica que es posible que información confidencial quede expuesta a personas ajenas a la empresa más a menudo de lo que algunos podrían notarlo.

El 33 % de los empleados

compartieron datos de

los niveles más altos de

confidencialidad frecuentemente.

¿Cómo describiría el nivel de confidencialidad de los datos que comparte con mayor frecuencia?

¿Cuál es el nivel más alto de confidencialidad de los datos que comparte a través de la red de la organización?

¿Con qué frecuencia comparte o colabora en salas de reuniones con un proyector o una televisión?

Protección de los datos y dispositivos de los usuarios en la era del negocio digital6

Audiencia pública y no identificada (por ejemplo, YouTube)Audiencia pública, pero registrada (por ejemplo, webinar público)Ventas o socios potenciales

Los colegas y socios/clientes de confianza (por ejemplo, aquellos que se vincularían a un acuerdo de confidencialidad)Solo colegas/solo audiencia interna

Requisitos estratégicos de seguridad

El estilo de trabajo móvil y el uso compartido de información confidencial crean un reto de seguridad abrumador. Todas las organizaciones implementan medidas de seguridad, pero cuando se omiten, los datos se exponen a la creciente cantidad de amenazas de seguridad sofisticadas. Como la mayoría de los líderes empresariales saben, las consecuencias de la pérdida de datos pueden ser devastadoras.

Por ejemplo, la pérdida de propiedad intelectual a manos de competidores o estados nación puede perjudicar el modelo de negocios de una empresa. Si quienes producen a bajo costo en el extranjero obtienen conocimiento de los secretos comerciales, una empresa puede enfrentar rápidamente un mercado inundado de productos económicos con propiedad intelectual que supo ser de su propiedad. Un escenario como este tiene el potencial de sacar a una empresa del negocio.

Cuando se roban los datos del cliente, las pérdidas pueden sumar cientos de millones de dólares, como resultado de reclamaciones por daños debidos al robo de identidad, así como por sanciones de cumplimiento de normas. En un caso muy conocido, una gran cadena minorista de EE. UU. se enfrentó a esta situación. Por otro lado, las organizaciones de servicios de salud enfrentan con frecuencia multas de diversa gravedad cuando los datos se ponen en riesgo en violación de las normativas de la HIPAA. En los sectores de servicios financieros y minoristas, las multas por el incumplimiento del PCI DSS no son poco frecuentes.

¿A qué público comparte o colabora con mayor frecuencia en salas de reuniones con un proyector o una televisión?

Protección de los datos y dispositivos de los usuarios en la era del negocio digital7

Medidas de seguridad necesarias

Para evitar las consecuencias de las vulneraciones de datos y la pérdida de datos, las medidas de seguridad son esenciales. Los dispositivos deben estar seguros, los datos deben estar cifrados y los permisos de usuario deben estar implementados. Estos son cuatro pasos clave de seguridad que deben tomar todas las empresas del mercado del segmento intermedio:

1. Protección de BIOS. Un BIOS dañado puede alojar el malware que sobrevive a la “limpieza” de un sistema y el sistema operativo reinstalado. Un sistema que incluye la protección del BIOS puede impedir que esto suceda.

2. Cifrado. El cifrado, una herramienta de protección de datos esencial, se debe implementar cuando sea necesario para los datos en reposo (almacenados en un sistema) y los datos en movimiento (que se transfieren a través de una red).

3. Autenticación avanzada. Asegurarse de que los usuarios sean quienes dicen ser es esencial para mantener los datos seguros. Se recomienda la autenticación de doble factor dondequiera que sea posible implementarlo.

4. Protección contra malware de última generación. Los software antivirus y antimalware tradicionales no pueden mantenerse a la altura de las amenazas actuales. La inteligencia artificial y el aprendizaje automático pueden detener incluso las amenazas desde el primer día.

Conclusión El panorama de TI móvil y remoto de la era del negocio digital está aquí para quedarse. La capacidad de los trabajadores de acceder a los datos y las aplicaciones, siempre que lo necesiten y dondequiera que se encuentren, es un habilitador de productividad revolucionario que las organizaciones del mercado del segmento intermedio y sus trabajadores valoran mucho.

Sin embargo, este estilo de trabajo tiende a exponer los datos a amenazas como nunca antes, en especial cuando se accede a información confidencial y se comparte, y cuando se eluden las medidas de seguridad corporativas. Como resultado, los tomadores de decisiones de tecnología enfrentan importantes desafíos para asegurar la información, desafíos que deben cumplirse si desean habilitar las fuerzas de trabajo productivas que requieren sus organizaciones. Por encima de todo, los dispositivos de los trabajadores y sus datos deben estar protegidos con una tecnología optimizada que no interfiera con los trabajadores en el desempeño de sus tareas.

Los tomadores de decisiones de tecnología deben prestar atención a los resultados de la encuesta que se describe en este informe. Deben implementar una amplia gama de tecnologías, como las de Dell EMC, que brindan la máxima protección de datos y, al mismo tiempo, permiten los estilos de trabajo de la era del negocio digital. Dado que la gran mayoría de las vulneraciones comienzan en los terminales, el enfoque en la seguridad de los terminales es fundamental.

Una estrategia de seguridad sólida que incluya la autenticación, el cifrado (tanto a nivel de archivo como de doble nivel) y la prevención avanzada de malware, mediante la IA y el aprendizaje automático, permite que una organización mantenga los datos seguros y permita la forma en que trabajan las personas.

Cuando se roban los datos del cliente, las pérdidas pueden

sumar cientos de millones de dólares, como resultado de reclamaciones por daños debidos al robo de identidad,

así como por sanciones de cumplimiento

de normas.

Protección de los datos y dispositivos de los usuarios en la era del negocio digital8

Los líderes de TI deben buscar un único proveedor de tecnologías de seguridad que protejan los datos y prevengan amenazas. Un socio valioso debe implementar tanto la protección de hardware como de software. Por ejemplo, un proveedor de hardware debe, cuando corresponda, integrar la seguridad en los dispositivos y el software que produce. Y el proveedor debe encargarse de los procesos de diseño, fabricación y distribución para moderar el riesgo de las piezas falsificadas o la introducción de malware.

Las soluciones de seguridad innovadoras de Dell se realizan para la forma en que las personas trabajan, lo que permite una colaboración eficiente y segura y una mejor experiencia de los empleados. Dell proporciona protección de hardware y software, lo que reduce la cantidad de proveedores de seguridad que una organización debe usar. Dell incorpora su propia propiedad intelectual y las innovaciones tecnológicas de los socios estratégicos en sus productos. Además, Dell aprovecha su legado en el diseño de PC para brindar seguridad a la capa de firmware a través de funciones como protección de BIOS.

Dell ofrece las PC comerciales más seguras del mundo, con tecnología de los procesadores Intel® CoreTM vProTM, a través de soluciones de seguridad para el terminal líderes del sector que incluyen protección del BIOS, cifrado de datos, autenticación avanzada y opciones de protección contra malware de última generación.1 Dell cumple su promesa de Dispositivos de confianza con una gama de productos y características que incluyen:

SafeBIOS

• SafeBIOS proporciona una verificación exclusiva de BIOS fuera del host para obtener visibilidad de la posible manipulación de BIOS, lo que podría ser un signo de un ataque altamente técnico e invasivo.

SafeID

• SafeID, disponible solo de Dell, proporciona integridad de autenticación al almacenar y procesar de forma segura las credenciales de los usuarios en un chip de seguridad dedicado, lejos de los ataques de software.

• SafeID utiliza funciones como lector de huellas dactilares integrado, tarjeta inteligente o autenticación sin contacto para obtener acceso a las credenciales conectadas y verificar que los usuarios estén autorizados.

SafeData

• La colaboración inteligente es una colaboración segura. Permita a los usuarios finales la libertad de colaborar de forma inteligente sabiendo que los datos se mantienen seguros, incluso en entornos diversos.

• Protección. Los datos están seguros en el dispositivo con cifrado centrado en el archivo y se mantienen seguros incluso cuando se comparten a través de correo electrónico, servicios de nube, FTP y dispositivos de almacenamiento portátiles, por parte de empleados, contratistas, proveedores y socios.

• Control. Los administradores definen los parámetros sobre quién tiene acceso a los datos y cuándo, además de cómo se pueden utilizar los datos.

• Monitoreo. Realice análisis sobre el acceso a los datos, la actividad y la ubicación, lo que permite a los administradores detectar posibles riesgos de seguridad.

SafeGuard and Response con tecnología de SecureWorks

La administración integral de amenazas con decisiones de seguridad inteligentes y rápidas, con tecnología de telemetría de terminales y validada por expertos en seguridad dedicados, puede realizar lo siguiente:

• Evitar el 99 % de las amenazas de malware en el terminal.2

• Detectar las amenazas que no son de malware que ya se encuentran en el entorno y obtener un plan de acción para una corrección enfocada.

• Responder a incidentes cibernéticos de manera rápida y eficiente, o incluso prepararse con anticipación para los problemas inesperados.

Seguridad de punto a punto de Dell

Con un enfoque multicapa de la seguridad en todas las soluciones de Dell EMC, que cuentan con servidores en rack y torre, y soluciones de almacenamiento y HCI líderes del sector, Dell EMC ofrece un centro de datos seguro y moderno que es resistente desde el principio. Las soluciones de seguridad de Dell trabajan juntas para proteger los datos con una seguridad que se mueve junto con los datos a cualquier lugar que pase por la infraestructura de TI y más allá. El resultado: Los administradores de TI obtienen un mayor control sobre todo el ecosistema conectado para proteger los activos de TI, negocios y clientes.

Lo mejor de todo es que, ya que las soluciones de Dell Financial Services pueden abarcar todas las ofertas de Dell Technologies, que incluyen hardware, software y la TI de otros fabricantes, las organizaciones del mercado del segmento intermedio pueden obtener toda la tecnología de seguridad y el software necesarios para proteger sus inversiones en hardware.

1. Información basada en análisis internos de Dell, octubre de 2017. AD legal n.º A13001497

2. Plataforma CrowdStrike Endpoint Protection, comparación de antivirus, octubre de 2018, AD n.° 19000006

Dell: el socio de seguridad adecuado para proteger los datos y los dispositivos

Protección de los datos y dispositivos de los usuarios en la era del negocio digital9

Para obtener más información sobre la manera en que Dell EMC puede ayudar a las empresas del mercado del segmento intermedio con sus necesidades tecnológicas, visite nuestro sitio web dedicado a las soluciones para el mercado del segmento intermedio.

Para obtener un estudio más detallado, lea el informe de investigación, “The Workers’ Experience: Survey reveals the importance of technology to spark motivation, enhance productivity and strengthen security.”

Recursos adicionalesDell Endpoint Security

Dell ProSupport

Dell Financial Services

Acerca de la encuesta Dell EMC patrocinó una encuesta a 1327 trabajadores en empresas del mercado del segmento intermedio. El mercado del segmento intermedio se define como organizaciones con entre 100 y 499 empleados. La encuesta cubrió las regiones de Norteamérica, Europa Occidental, Japón, Latinoamérica e India. Los sectores verticales incluían educación, energía, finanzas, logística de fabricación y comercio minorista, servicios de salud, medios y entretenimiento, y tecnología e investigación y desarrollo. Los participantes fueron encuestados en el verano de 2018.

Copyright © 2019 Dell Inc. o sus filiales. TODOS LOS DERECHOS RESERVADOS. Dell, EMC, Dell EMC y otras marcas comerciales son marcas comerciales de Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser marcas comerciales de sus respectivos dueños. Ninguna parte de este documento puede reproducirse ni distribuirse de ninguna manera ni por ningún medio, ya sea electrónico o mecánico, incluidas las fotocopias y las grabaciones, para ningún propósito sin el consentimiento por escrito de Dell, Inc. o sus filiales. ESTA DOCUMENTACIÓN TÉCNICA SE UTILIZA SOLO CON FINES INFORMATIVOS Y PUEDE CONTENER ERRORES TIPOGRÁFICOS E INEXACTITUDES TÉCNICAS. EL CONTENIDO SE PROPORCIONA TAL CUAL, SIN GARANTÍAS EXPRESAS NI IMPLÍCITAS DE NINGÚN TIPO.