Es la semana de la privacidad de datos! Esta iniciativa internacional de una semana de duración fue desarrollada por la Alianza Nacional de Ciberseguridad y alienta a todas las organizaciones a respetar los datos a través de una mayor seguridad y transparencia de gestión.
Los ricos flujos de datos han permitido a las organizaciones analizar el comportamiento de los clientes, identificar oportunidades, establecer líneas de base, establecer objetivos de rendimiento, recopilar inteligencia empresarial y mucho más. Si bien nuestra cultura basada en datos fomenta mejoras continuas, la falta de alineación estratégica en torno a la protección de datos puede resultar en la pérdida del valor de este activo o del valor de su organización, y puede suceder rápidamente.
La empresa promedio tiene 534,465 archivos que contienen datos confidenciales. En ciertas industrias, como las finanzas, cada empleado tiene acceso a más de 1,000 archivos sensibles. Peor aún, más que 70% de los empleados se sabe que comparten datos confidenciales y críticos para el negocio a través de plataformas y dispositivos inseguros o poco seguros. La exposición de datos puede resultar en daños a la reputación, sanciones legales y otros resultados comerciales no deseados.
Aborde de forma proactiva los requisitos de privacidad y protección de datos con estrategias, tecnologías y otras medidas positivas preparadas para el futuro. Hacerlo significa diferenciar su empresa, aumentar la propuesta de valor de su organización y generar confianza en el consumidor.
1. Localizar e identificar datos. No puede proteger la información de su empresa de manera efectiva si no sabe que existe, dónde se encuentra o qué datos conserva. Los datos se pueden perder fácilmente en sistemas propios, documentos, correos electrónicos y aplicaciones heredadas retiradas.
El equipo de seguridad de su organización necesita comprender dónde se almacenan todos los sistemas y datos críticos dentro de la empresa. El equipo de seguridad también necesita rastrear quién tiene acceso a qué datos, por qué y cómo se están utilizando, si es que se utilizan. A su vez, esto permitirá a su equipo de seguridad desarrollar procesos, controles y salvaguardas a través de los cuales garantizar una protección de datos y un cumplimiento normativo suficientes.
2. Cree políticas de seguridad claras. Cuando entran en juego nuevas regulaciones, las organizaciones comúnmente intentan seguir las leyes implementando políticas complicadas como adiciones a las políticas existentes. Si bien este enfoque puede lograr objetivos legales, los empleados a menudo tienen dificultades para comprender y aplicar las nuevas políticas a sus tareas diarias.
Las organizaciones necesitan establecer políticas de seguridad claras y fáciles de entender. Las políticas deben abordar los requisitos de cumplimiento de seguridad y privacidad globales. También deben ser consistentes. Busque oportunidades para simplificar sus políticas y procesos de protección de datos y privacidad. Al hacerlo, ayudará a todos los que realmente se esfuercen por proteger los datos de su organización.
3. Desarrolla conexiones. La seguridad a menudo implica un número enloquecedor de partes interesadas, especialmente dentro de las empresas más grandes. Para cumplir con las expectativas de privacidad de los datos, los equipos de seguridad deberán desarrollar sólidas relaciones de trabajo con profesionales de todos los departamentos que necesiten proteger los datos. Además de mejorar la comunicación, el desarrollo de políticas y la implementación, las conexiones interdepartamentales pueden permitir a su organización descubrir y abordar problemas de incumplimiento antes de que un auditor externo los informe.
4. Conciencia de los empleados. Educar a los empleados sobre los riesgos de ciberseguridad, las políticas de protección de datos y las mejores prácticas de protección de datos le permite reducir ampliamente las vulnerabilidades. Un programa de concientización sólido debe incluir contenido educativo, mensajes de seguimiento, pruebas y medición de la participación de los empleados en dichos programas. Prepare a su organización para el éxito centrándose en las mejores prácticas de protección de datos y participando en la colaboración entre equipos para crear un ecosistema de seguridad y privacidad de datos que respalde la evolución de las regulaciones y el crecimiento empresarial.
5. Prevención de pérdida de datos (DLP). La prevención de pérdida de datos se refiere a una serie de estrategias y herramientas que las organizaciones pueden emplear para evitar el robo, la pérdida o la eliminación accidental de datos. Las organizaciones suelen utilizar DLP para proteger la Información de identificación personal, para cumplir con las regulaciones correspondientes, para proteger la propiedad intelectual, para lograr una mayor visibilidad de los datos, para proteger la fuerza de trabajo distribuida y para proteger los datos en sistemas remotos en la nube.
Antes de la adopción, determine la arquitectura de implementación de DLP o la combinación de arquitecturas más adecuada para su organización. Además de ayudar a lograr los objetivos mencionados anteriormente, la adopción de DLP también permite a los CISO conservar las capacidades de informes necesarias que permiten actualizaciones frecuentes de seguridad de datos para la administración.
6. Copias de seguridad, instantáneas, replicaciones. Las tres cosas tienen un papel que desempeñar en la protección de datos. Si bien los tres a menudo se confunden, todos están destinados a proteger sus datos de diferentes maneras:
Copias de seguridad de datos: En caso de pérdida o corrupción, las copias de seguridad de datos le permiten restaurar los sistemas a un punto anterior en el tiempo. Las copias de seguridad de datos crean "puntos de guardado" en sus servidores de producción. Debido a que las copias de seguridad de datos pueden tardar un tiempo en crearse, muchas empresas las programan por la noche o los fines de semana. Las copias de seguridad de datos son fundamentales para fines de cumplimiento.
Instantáneas de datos: Una instantánea de datos copia el estado de todo un sistema en un momento determinado, presentando una "instantánea" virtual de los sistemas de archivos y la configuración de un servidor. A diferencia de las copias de seguridad, las instantáneas solo copian la configuración y los metadatos necesarios para restaurar los datos después de una interrupción.
Replicación de datos: El término "replicación de datos" se refiere a la copia de datos en otra ubicación, ya sea un sistema de almacenamiento dentro del mismo centro de datos o un sistema en un centro de datos remoto. Esta metodología de almacenamiento de datos permite que todos los usuarios trabajen a partir de los mismos conjuntos de datos. La replicación de datos da como resultado una base de datos distribuida y coherente.
7. Firewall. Si bien su empresa puede tener un firewall, ¿las redes siguen siendo vulnerables en su núcleo? Asegúrese de que su solución de firewall esté configurada de forma segura. Siga los siguientes pasos: Desactive los protocolos inseguros como telnet y SNMP o utilice una configuración SNMP segura. Programe copias de seguridad periódicas de la configuración y la base de datos. Agregue una regla de sigilo en la política de firewall para ocultar el firewall de los análisis de red. Información más detallada aqui.
Las guías de seguridad de firewall a menudo están disponibles de proveedores de seguridad y terceros, como el Centro para la Seguridad de Internet (CIS), que publica Dispositivos de Red de Benchmarks CIS. Además, vea el Lista de Comprobación de Firewall SANS.
8. Autenticación y autorización. Estos tipos de controles ayudan con la verificación de credenciales y garantizan que los privilegios de usuario se apliquen de manera adecuada. Por lo general, estas medidas se implementan junto con una solución de administración de identidades y accesos (IAM) y en conjunto con controles de acceso basados en roles (RBAC).
9. Protección de endpoints (EDR). Como parte de un enfoque de ciberseguridad por capas, la protección de endpoints ayuda a proteger equipos de escritorio, portátiles y dispositivos móviles. Las características esenciales de una solución de punto final incluyen: antimalware, análisis de comportamiento, la capacidad de hacer cumplir las políticas de seguridad de la empresa, cifrado de datos, inspección de sandbox, acceso remoto seguro y filtrado de URL.
Cuando se trata de soluciones de seguridad para endpoints, la elección correcta depende de los endpoints en cuestión y de las necesidades únicas de una organización determinada. Su organización también podría considerar una solución XPR/ XDR, que integra seguridad de endpoints, seguridad de computación en la nube, seguridad de correo electrónico y otras arquitecturas de seguridad.
10. Borrado de datos. Al eliminar los datos que su organización no necesita almacenar y no utiliza, su organización puede limitar sus responsabilidades en lo que respecta a la protección de datos. En muchas reglas de cumplimiento, el borrado de datos innecesarios es un requisito. En resumen, el borrado de datos es un elemento crítico del proceso de gestión del ciclo de vida de los datos.
La protección de la privacidad y la integridad de los datos ayuda a su organización a mantenerse competitiva, aumenta el valor y mejora la confianza.
Para obtener más información sobre la semana de la privacidad de los datos y las estrategias de protección de la privacidad de los datos a nivel ejecutivo, véase CyberTalk.org cobertura pasada.
Por último, no se pierda la inscripción para el evento de ciberseguridad más importante del año; CPX 360 2023. Regístrese aquí.
Post 10 consejos de privacidad de datos para proteger su organización este año apareció primero en Charla cibernética.