En muchas empresas medianas, no solo el administrador de TI tiene acceso ilimitado a todos los datos operativos, sino también el aprendiz experto en TI. Si luego deja la empresa, a menudo conserva sus derechos de acceso porque nadie piensa en ello, explica el especialista en seguridad de datos Detlef Schmuck.
Los sistemas granulares de autorización de TI que son comunes en las grandes empresas a menudo se guardan en las medianas empresas por razones de costo. En esencia, a cada usuario solo se le otorgan los derechos de acceso a las bases de datos que son absolutamente necesarios para el lugar de trabajo respectivo. "Sin embargo, la gestión de autorizaciones de acceso individuales requiere mucho esfuerzo, especialmente porque siempre hay una tendencia por parte del usuario a querer obtener más derechos de acceso de los que realmente se requieren para el trabajo", sabe Detlef Schmuck de numerosos proyectos en medio -empresas de tamaño. Él dice: "Muchas empresas medianas todavía están abrumadas por los desafíos de la digitalización, especialmente cuando se trata de problemas de seguridad".
Demasiados tienen acceso a datos confidenciales
Detlef Schmuck da ejemplos: “Mientras que en el mundo analógico, los documentos con información confidencial, como listas de salarios o planes de negocios, podrían bloquearse de forma segura y solo estar accesibles para los empleados involucrados, esto es mucho más difícil en el mundo digital. Las carpetas compartidas en un servidor de archivos o un sistema NAS siempre se pueden ver además de los empleados autorizados por cualquier administrador del sistema para el servidor. Muchas empresas ni siquiera son conscientes de este riesgo. Por ejemplo, un colega calificado que se supone que debe cuidar el servidor recibe acceso incidental a todos los datos confidenciales sin que nadie se dé cuenta. Porque tan pronto como la persona conoce la contraseña del servidor para la administración, todas las demás restricciones de acceso ya no brindan protección”.
La gestión de datos en la nube como remedio
Como remedio, Detlef Schmuck recomienda utilizar un sistema de gestión de datos basado en la nube con las funciones adecuadas. Cita el cifrado de datos de extremo a extremo y una arquitectura de conocimiento cero como los criterios más importantes. Esto significa, en primer lugar, que todos los datos en la nube están completamente encriptados y solo se descifran con acceso autorizado y, en segundo lugar, que incluso el administrador de la nube no tiene ninguna clave para los datos.
Esto contrasta con los entornos de TI en muchas empresas medianas, donde cada empleado con derechos de administración tiene acceso a la correspondencia de correo electrónico de todos los empleados. Aunque las propias computadoras a menudo están bien protegidas por encriptación, tan pronto como los datos salen de la computadora local, generalmente corren un alto riesgo, Detlef Schmuck sabe de los proyectos. Agrega: “Todos los administradores de sistemas externos también se encuentran entre aquellos que pueden obtener acceso no autorizado a documentos confidenciales. Además, este riesgo también existe para Exchange u otro servidor de correo electrónico. Todos los correos electrónicos y archivos adjuntos generalmente no están encriptados en el servidor y solo se encriptan durante la transmisión”.
Accede solo a los datos que necesitas
Detlef Schmuck es director general del servicio en la nube de alta seguridad TeamDrive de Hamburgo y postula: "En nuestro servicio en la nube, los datos operativos se almacenan de forma más segura que en la mayoría de las empresas medianas de Alemania". el cifrado automático, sino que también garantiza la gestión segura de claves y el intercambio seguro de claves. Como resultado, cada usuario solo tiene acceso a los datos que realmente necesita para su tarea operativa. Además, todos los accesos se registran por completo, por lo que se puede determinar en cualquier momento después quién accedió a qué información y cuándo. De acuerdo con el principio de conocimiento cero, el propio operador de la nube, es decir, TeamDrive, no tiene ninguna clave de acceso a los datos del cliente.
Se cumplen todos los requisitos legales
También importante: TeamDrive cumple con todos los requisitos legales aplicables en Alemania según el RGPD (Reglamento general de protección de datos) y GoBD (Principios para la correcta gestión y almacenamiento de libros, registros y documentos en formato electrónico). Esto significa que los datos personales confidenciales, por ejemplo, en la nómina, así como los secretos comerciales, como los cálculos o los contratos, se pueden almacenar en la nube de manera legal. El hecho de que TeamDrive esté completamente en manos alemanas, a pesar del nombre de la empresa en inglés, y que todos los datos de los clientes permanezcan en el área legal de la República Federal de Alemania contribuye a la seguridad.
Más en TeamDrive.com
Acerca de TeamDrive TeamDrive se considera un "software Sync&Share seguro fabricado en Alemania" para almacenar, sincronizar y compartir datos y documentos. La base es un cifrado coherente de extremo a extremo que garantiza que solo el propio usuario pueda leer los datos; ni TeamDrive ni ninguna autoridad del mundo pueden descifrar los datos. Más de 500.000 usuarios y más de 5.500 empresas de todos los sectores aprecian esta seguridad técnica y jurídicamente vinculante.