Los profesionales de la seguridad de la Información pueden contar historias fascinantes sobre los numerosos planes de protección de la información que nunca tuvieron implantación práctica. Son numerosas las razones de su fracaso. Algunos de esos planes no eran razonables, ya que imponían una carga de trabajo abrumadora a los usuarios. Otros eran poco prácticos, porque imponían demasiados impedimentos al hecho de que la información existe para ser compartida. Otros no habían previsto el desarrollo de la nube, el mundo “BYOs” y la necesidad de compartir datos con terceros, y que significa que “los datos han salido del perímetro”. En relación con este último, todos hemos llegado a la conclusión de que con tantas herramientas de colaboración en línea disponibles a un clic de distancia, aprovechar una unidad basada en la nube es fácil, rápido y barato. No obstante, las empresas se han dado cuenta de que una vez que los archivos se mueven fuera de esos “cielos seguros”, realmente no hay manera de controlar y prevenir los flujos de información y, en consecuencia, su divulgación.
A precios más o menos elevados, la mayoría las opciones de silo en la nube ofrecen algún tipo de mecanismo de seguridad que implica proteger los datos de caer en manos equivocadas. Las ofertas varían desde formas de controlar y restringir el acceso a los documentos, mediante encriptación o, en algunos casos, gestión de derechos digitales empresariales. Aunque son una buena política de seguridad de TI, tales enfoques no tienen en cuenta la función ni la necesidad de conocer de cada usuario individual. Aplicando una política de acceso y uso de talla única, que no concuerda con la necesidad de colaborar, en la cual diferentes personas deben tener privilegios diferentes sobre los mismos datos.
La clasificación mejora la colaboración con la aplicación de políticas basadas en roles
Para abordar este problema, las empresas deben basarse en la clasificación de los datos y en las políticas de control de acceso basadas en roles, para así poder aplicar y aplicar automáticamente restricciones corporativas a los datos, sin ningún gasto adicional para el usuario. Esto asegura que todos los documentos se clasifican consistentemente en línea con las políticas de seguridad y gobernanza de la organización y minimiza el riesgo de fugas accidentales de datos debido a errores humanos.
Una vez que se define un esquema de clasificación de datos y su taxonomía, es necesario clasificar adecuadamente todos los datos de su organización y desarrollar e implantar los estándares de seguridad que especifican las prácticas adecuadas para cada categoría. Lo cual es lo mismo que decir que la clasificación de datos debe ser la fuerza motriz detrás del DRM o encriptación que impone la capacidad de acceder, usar y compartir datos confidenciales tanto internamente como con terceros.
Por lo tanto, todas las acciones a las que el usuario tiene derecho sobre el archivo de datos, se basan en el rol que el usuario individual tiene en el equipo y no en los permisos de unidad o biblioteca.
Fuente: Watchful Software
