Las famosas brechas de seguridad de datos recuerdan que la gestión de acceso de datos debe ser un imperativo empresarial. Sin embargo, demasiado a menudo, el proceso de control de acceso a los activos de información vitales es ineficiente, ineficaz y carece de la agilidad necesaria para adaptarse con facilidad a un crecimiento dinámico y cambiante.
Según un informe de Gartner sobre la Gestión del Riesgo y Seguridad TI, las decisiones tomadas sobre los datos de acceso deben basarse en una evaluación de los riesgos y los beneficios que tiene un determinado nivel de intercambio de datos, así como una evaluación de los procesos, las personas y la tecnología que se puede compartir de forma segura.
Quest Software recomienda un proceso de seis pasos para orientar y mejorar los controles de acceso de datos:
- Identificar a los usuarios y los recursos - El primer paso consiste en realizar un inventario de los datos importantes (o puntos de acceso a esos datos), que pueden y suelen estar en múltiples plataformas, dispositivos Network-Attached Storage (NAS), sitios SharePoint, miembros de grupos Active Directory, dispositivos móviles, etc. También es importante identificar los recursos de datos no estructurados o huérfanos.
- Clasificar los datos y asignar derechos - Los datos deben ser clasificados en términos de confidencialidad, correlación con las regulaciones (por ejemplo, números de tarjeta de crédito), relevancia y requisitos de archivo. Las personas autorizadas para acceder a los datos de negocios deben ser revisadas y evaluadas para asegurar que están en concordancia con las políticas de seguridad.
- Asignar los propietarios de datos - Asignar propietarios adecuados basado en roles, posición y otros atributos. Se debe de tener en cuenta la separación de funciones para asegurar el cumplimiento y la seguridad.
- Auditoría e informes sobre el acceso - Programar y realizar continuas certificaciones de acceso para garantizar exactitud, cumplimiento y seguridad.
- Automatizar las solicitudes de acceso y la solución de problemas – La automatización del cumplimento de acceso a los flujos de trabajo basado en los derechos de acceso y en el puesto del solicitante en la organización es esencial; además, disponer de respuestas automáticas para solucionar las desviaciones puede evitar posibles amenazas.
- Evitar cambios no autorizados - Bloquear ciertos datos, grupos o derechos de acceso que nunca deben ser alterados; todos los cambios deben ser registrados en un depósito seguro en el que no puedan ser manipulados.
Protección proactiva y control de los datos críticos
La gestión de acceso de datos multiplataforma puede eliminar las barreras para satisfacer el cumplimiento de los requisitos y evitar el acceso no autorizado a datos confidenciales que residen en servidores físicos y virtuales, dispositivos NAS, sitios SharePoint, servidores de ficheros Windows, etc.
Mejorar el control de acceso es un factor clave en la reducción de las amenazas de seguridad, así como la prevención.
Una visibilidad de 360 grados del acceso de usuarios de toda la empresa ofrece la perspectiva necesaria para hacer cumplir las políticas y las regulaciones sin crear un impacto negativo en las operaciones.
Para concluir, en palabras de Ramsés Gallego, Security Srategist & Evangelist de Quest Software España
"Una gestión de datos completa combina identificación, control y automatización para ayudar a las empresas a determinar quién necesita acceso a los datos críticos del negocio, independientemente de si los datos están en formatos estructurados dentro de aplicaciones y bases de datos o en formatos no estructurados en documentos y hojas de cálculo, con el fin de satisfacer las cambiantes necesidades de negocio, sin comprometer la seguridad."