Clasificación de datos es clave para la protección de la propiedad intelectual
La mayoría de organizaciones entienden la necesidad de proteger la propiedad intelectual (PI), pero muchas luchan para identificarla, según Titus.
La mayoría de las organizaciones entienden la necesidad de proteger la propiedad intelectual (PI), pero muchas luchan para identificarla, según Stephane Charbonneau, director de tecnología de la empresa de seguridad Titus.
"Muchos buscan conectar una caja negra en la red que mágicamente marcará datos sensibles que necesitan protección extra como cifrado, pero eso difícil de hacer para las máquinas", le dijo a nuestro sitio hermano, Computer Weekly.
La naturaleza de la propiedad intelectual hace que sea difícil para los sistemas puramente automatizados reconocerla, lo que significa que los empleados deben ser capaces de reconocer, clasificar y proteger la propiedad intelectual.
"La protección de la propiedad intelectual depende de la comprensión de los empleados de qué tipos de datos son importantes para el negocio", dijo Charbonneau.
Solo una vez que los datos se clasifican, los sistemas de TI pueden identificar los riesgos asociados con la propiedad intelectual, como cuando se está enviando datos fuera de la organización, se envían a receptores no autorizados, o se vinculan a una actividad inusual.
“La clasificación de datos puede permitir a las organizaciones obtener más valor de otros sistemas de seguridad, como el cifrado, la prevención de pérdida de datos, la gestión de documentos, la información de seguridad y la gestión de eventos, así como los sistemas de gateway de correo electrónico", dijo Charbonneau.
Etiquetar datos y guiar a los usuarios
Titus busca abordar el problema de que los empleados accidentalmente fuguen PI, ayudándoles a reconocer la propiedad intelectual y haciéndoles fácil etiquetar los datos en consecuencia.
“El etiquetado de los datos permite automatizar cosas como el cifrado, el control de acceso y la identificación de un comportamiento inusual, como un usuario que intenta imprimir grandes cantidades de datos de PI o de repente degradar la clasificación de los datos de modo regular", dijo Charbonneau.
La capacidad de rastrear el comportamiento del usuario en relación con los datos de PI es útil en el bloqueo de empleados deshonestos, de atacantes externos utilizando credenciales robadas, dijo.
Titus aborda la clasificación permitiendo a los usuarios etiquetar los datos simplemente haciendo clic en el botón de clasificación apropiado que aparece en las aplicaciones utilizadas para crear documentos, tales como correo electrónico.
"Al pasar por encima de los diferentes botones de clasificación que son específicos de la organización se ofrece consejos para ayudar a los usuarios a decidir cuál es el más adecuado, en función de la política", dijo Charbonneau.
Proporcionar consejos sobre herramientas no solo guía a los usuarios, dijo, sino que al mismo tiempo ayuda a educarlos acerca de la política de la empresa sobre proteger la propiedad intelectual y cómo aplicarla.
"Proporcionar alertas y orientación a medida que la gente trabaja, proporciona un recordatorio constante de las políticas de seguridad, lo cual es mucho más eficaz en el mantenimiento de la capacitación en seguridad al día que un video anual de conciencia de seguridad seguido de tres preguntas rápidas", dijo.
Las organizaciones también tienen la opción de registrar las respuestas de los usuarios para identificar tendencias en el tiempo y establecer una línea de base para permitir que la tecnología identifique cualquier desviación de los patrones habituales de comportamiento.
Según Charbonneau, es importante proporcionar educación en torno a la necesidad de clasificar la PI incluso antes de que la tecnología llegue al escritorio, y luego respaldar eso con la orientación, ya que se esté utilizando.
"Los usuarios deben ser conscientes de que este tipo de tecnología se va a introducir, se les debe pedir sus aportaciones, y deben entender por qué se les pide ser parte de la solución de seguridad y por qué es importante para ellos clasificar los datos con la mayor precisión que sea posible a medida que los crean", dijo.
Clasificación automatizada de datos
Otra manera de ayudar a hacer más fácil la clasificación es mediante el uso de tecnología de coincidencia de expresión, para proporcionar alguna clasificación automática basada en el papel de un empleado y el contenido de un documento.
"Si un documento está siendo creado por alguien en recursos humanos y contiene un nombre y número de seguro social, puede ser etiquetado automáticamente como confidencial solo para el uso del departamento de recursos humanos", dijo Charbonneau.
Un tercer enfoque a una clasificación más fácil es sugerir una clasificación, pero darle al empleado que está creando el documento la opción de elegir otra clasificación que piense que es más apropiada.
"Las organizaciones pueden elegir qué método o combinación de métodos se aplican a toda la organización o a los departamentos específicos dentro de una organización", dijo Charbonneau.
La clave para una implementación exitosa de este tipo de tecnología, dijo, es que las organizaciones lleguen a un conjunto relativamente pequeño de clasificaciones pertinentes que sean significativas para los usuarios.
Más allá de la clasificación, Charbonneau dijo que es importante que las organizaciones informen a los usuarios cómo se espera que manejen los datos o documentos que son clasificados de una manera particular.
"Una vez más, la tecnología puede ayudar a guiar a los usuarios al marcar automáticamente los documentos como "confidencial” y solo para el uso de un individuo o departamento en particular", dijo.
Esto ayuda a evitar la fuga accidental o involuntaria de PI, que representa alrededor del 95% de las fugas de PI internas, según Charbonneau.
"Al observar el destinatario al que se envía un correo electrónico, los datos sensibles de PI también pueden ser bloqueados si alguien en el desarrollo de productos responde sin querer a un correo electrónico de phishing enviado por alguien en ventas", dijo.
Del mismo modo, la tecnología impulsada por la clasificación de datos puede bloquear cualquier intento de los empleados de llevarse datos de PI con ellos cuando se van de la organización.
Ayude al personal a entender la importancia de la PI
Una vez que las organizaciones entienden los beneficios de un enfoque impulsado por la clasificación de datos, Charbonneau dijo que no deben subestimar la importancia de también incluir a sus usuarios.
"Además de preparar a los usuarios para la nueva tecnología de antemano, las organizaciones deben considerar introducirla de una manera gradual, en vez de introducir todos los cambios y políticas sobre el bloqueo y la encriptación todos de una sola vez", dijo.
Según Charbonneau, esta es una manera eficaz de conseguir que el personal se acostumbre a la clasificación de los datos, así como lograr su contribución en los tipos de clasificación.
Debido a que la pérdida de la propiedad intelectual es una preocupación creciente para todas las empresas, desde pequeñas a grandes, Titus ha adoptado un modelo de licencia por usuario, que también se basa en el nivel de funcionalidad requerida.
Titus también está estudiando la mejor manera de satisfacer las necesidades de las organizaciones pequeñas que pueden tener menos de 100 empleados, pero trabajan en o suministran a industrias tales como la industria aeroespacial con PI altamente sensible.
