Desde el contenido de los correos electrónicos hasta la propiedad intelectual, los planes comerciales, la documentación de capacitación patentada y mucho más, la mayoría de las empresas administran grandes cantidades de datos no estructurados que contienen información valiosa y sensible. El gran volumen de datos no estructurados creados y administrados por la mayoría de las empresas puede ser suficiente para aumentar sustancialmente los costos de almacenamiento. Además de administrar datos no estructurados, comprender qué datos no estructurados son sensibles y protegerlos es una preocupación crucial para la empresa moderna.
Pero proteger estos datos puede ser un desafío debido a la naturaleza de los datos no estructurados y los desafíos que a menudo existen para identificar dónde residen dentro de la red empresarial, protegerlos del acceso no autorizado y evitar que salgan del entorno seguro de la empresa.
¿Qué son exactamente los datos no estructurados?
Los datos no estructurados son datos que están en formato legible por humanos. A diferencia de los datos estructurados, que normalmente son programáticamente correctos y legibles por máquina (por ejemplo, una base de datos), los datos creados por humanos como correo electrónico, texto, hojas de cálculo, videos, imágenes, etc.se denominan no estructurados y probablemente comprenden hasta el 80% de los datos generados. hoy.
Una característica fundamental de los datos no estructurados es que contendrán datos confidenciales o IP de una empresa y probablemente representen de una forma u otra la suma total de todo el conocimiento que se ha creado o recopilado en su organización. Si estos datos se filtraron, podría ser perjudicial para la imagen de la empresa o incluso podría resultar en fuertes multas si está sujeto a una legislación como RGDP.
Los datos no estructurados deben manejarse de forma segura y esto debe abordarse en sus políticas de protección de datos.
& nbsp;
¿Cómo empezar a proteger los datos no estructurados?
La protección de datos no estructurados comienza con hacer y responder algunas preguntas clave como:
- ¿Dónde están las fuentes de sus datos no estructurados y cómo se protegen?
- ¿Quién ha estado modificando estos archivos?
- ¿Quién tiene acceso actualmente a datos confidenciales no estructurados, qué controles de acceso existen y cómo se controlan los derechos de superusuario?
Las respuestas a estas preguntas a menudo no están completas sin una fuente externa imparcial que revise la infraestructura de TI de una empresa. Para las empresas más grandes, su grupo de auditoría interna a menudo puede manejar esta tarea. Pero para la mayoría de las empresas, realmente necesitan considerar asesores externos, ya sean asesores externos o consultores.
In order to best answer these questions you’ll need to first understand and identify what kind of sensitive information exists in unstructured data and where it is residing. A key element in this would be to scan your data stores and even endpoints for key company terminologies (e.g. product IDs, product descriptions, keywords in documents) or perhaps personal data like names, DoB, addresses, biometric data, etc.
Esta comprensión le ayudará a identificar los controles que debe implementar en función de la naturaleza de los activos y su importancia. Una vez que se entienden los datos no estructurados, puede comenzar a implementar controles para monitorear y controlar quién modifica los archivos, los copia o incluso cambia sus permisos de acceso.
Diseñar programas de formación relacionados con datos no estructurados
Muchos empleados no comprenden los riesgos que no se ven o que ocurren durante largos períodos de tiempo. O cuando alguien descarga datos de un entorno seguro en una hoja de cálculo de Excel o en una memoria USB, todos los controles desaparecen. La tecnología no puede resolver esto, es un problema humano. Solo se puede abordar de manera razonable mediante políticas de uso adecuadas y una capacitación extensa y continua para la concienciación del usuario.
Desarrollar programas de formación que se ocupen específicamente de los riesgos de seguridad relacionados con la información no estructurada; Los programas deben ser ilustrativos y transmitir los beneficios que un empleado puede obtener tomando precauciones. Y, sobre todo, los empleados deben comprender que no deben sacar datos sensibles de su entorno controlado.