Alinear la Seguridad de los datos con la estrategia organizacional
Ser el responsable de la información y la Seguridad de los datos de una organización es una tarea ardua, sobre todo sabiendo que la cuestión no es si se producirá un ciberataque, sino si se producirá cuando usted esté a cargo. Ya sea una filtración masiva de datos que llegue a los titulares de los periódicos o un simple error humano que ponga en jaque todas sus operaciones, sus finanzas y su reputación se verán afectadas durante años. Según un estudio de IBM, el coste medio de una filtración de datos se estima en 3,92 millones de dólares.
A medida que aumenta la rapidez y el volumen de la información que se intercambia —a menudo en entornos de IT complejos e híbridos—, los CISOs se enfrentan a mayores retos para gestionar la Seguridad de los datos. Si a esto le sumamos el teletrabajo, que al parecer ha llegado para quedarse en alguna de sus formas, resulta obvio que los datos críticos de una empresa son hoy más vulnerables que nunca. Por fortuna, existen también más soluciones para proteger los datos del robo o la manipulación deliberados, e incluso del error humano.
Las empresas hacen malabares para integrar las iniciativas en materia de Seguridad de datos con sus propias estrategias organizativas. Como CISO, entender mejor el Negocio permitirá tomar decisiones estratégicas acerca de los procesos de protección de los datos.
A continuación, proponemos algunas buenas prácticas que los CISOs y otros profesionales de Seguridad pueden implementar en sus organizaciones.
Buenas prácticas de Seguridad de Datos
En primer lugar, es fundamental que los CISOs y demás responsables de la protección de los datos evalúen los riesgos propios de su organización y los minimicen aplicando iniciativas de Seguridad por capas y buenas prácticas.
La Seguridad de la información constituye el núcleo desde el que emergen el resto de medidas de Seguridad. Si este núcleo no es sólido, las acciones centradas en proteger las aplicaciones, endpoints, redes y el perímetro resultan menos efectivas. Adoptar medidas proactivas y reactivas puede ayudar a cubrir de forma integral la Seguridad de sus activos más críticos.
Evaluar, identificar, trabajar por capas y proteger los datos mediante soluciones de software integradas contribuye a proteger la integridad de la información sobre la que se sustenta su Negocio durante todo su ciclo de vida. Estas buenas prácticas deben ser consideradas desde un enfoque centrado en proteger la información mediante un conjunto de esfuerzos coordinados, en oposición a adoptar varias soluciones de software independientes.
1. Piense qué necesita proteger y por qué
Todas las decisiones en materia de Seguridad de datos deben someterse a la siguiente pregunta: ¿qué necesita proteger y por qué? Si no conoce la respuesta a estas dos preguntas tan genéricas, no vaya más allá.
Disponer de las respuestas le permitirá empezar a desarrollar su estrategia, a la par que se mantiene enfocado en la misión organizacional de su empresa.
2. Conozca qué tipos de datos tiene y dónde se encuentran
Antes de tomar ninguna decisión para proteger su información confidencial, es fundamental saber dónde se alojan estos datos. ¿On-premise, en la nube, en entornos de terceros? Audite dónde se encuentran sus datos y documéntelo.
En un estudio reciente llevado a cabo por Fortra, los CISOs coincidieron en que la visibilidad de los datos constituye la mayor vulnerabilidad para la ciberseguridad. Después de todo, ¿cómo pueden las empresas controlar y administrar sus datos de forma eficiente si no saben qué tipos de datos tienen, dónde se alojan, cómo se comparten y quién tiene acceso a ellos?
Conocer estos aspectos en detalle empodera a las empresas a la hora de gestionar y controlar su información, y permite adoptar una solución tecnológica más centralizada y efectiva.
3. Clasifique su información
Para empezar con buen pie, es necesario identificar y clasificar qué tipo de datos se deben proteger, incluida la información crítica no estructurada, como la propiedad intelectual. Con estas medidas, también asegura los parámetros básicos de control y administración necesarios para ayudar a garantizar el Cumplimiento normativo.
Las organizaciones deben adherirse a un número cada vez mayor de requisitos (normativas, leyes y estándares de Cumplimiento) sin disponer de un contexto sobre qué información necesita administrarse y protegerse. Tanto si necesita proteger información pública, financiera, de identificación personal (PII) como de otro tipo, clasificar la información sienta las bases para poder añadir las capas de Seguridad extra necesarias para seguir protegiendo la información en todas sus operaciones. La clasificación de datos básicamente sirve a modo de señal de advertencia durante el tránsito de la información, por ejemplo, aplicando etiquetas de metadatos a la información confidencial.
4. Conozca el flujo de sus datos
Una vez sepa qué tipo de datos administra, necesitará saber de dónde vienen, y también a dónde se dirigen en términos geográficos. Hay que tener en cuenta las normativas nacionales e internacionales que deben cumplirse a la hora de gestionar los datos en reposo y en tránsito, sobre todo si se realizan transferencias internacionales.
Cumplir y adherirse a los estándares de Cumplimiento gubernamentales o de la industria resulta mucho más sencillo si se cuenta con una serie de soluciones de Seguridad de datos que trabajan de forma coordinada.
5. Por defecto, otorgue derechos mínimos: acceso escalado hacia arriba y no hacia abajo
Las soluciones de software efectivas pueden personalizarse a fin de controlar el acceso y los derechos que se otorgan a los usuarios que pueden disponer de la información confidencial. En lugar de dar carta blanca al acceso interno o externo a la información que requiere protección, puede empezar concediendo los mínimos derechos posibles, y ampliándolos a medida que la empresa lo necesite, transferencia a transferencia, o durante un plazo limitado.
6. Acceso basado en roles y autenticación multifactor
Otro buen ejemplo a la hora de proteger la información confidencial es implementar un acceso basado en roles con el objetivo de limitar los puntos de acceso en una organización.
Instaurar la autorización multifactor protege aún más el acceso a sus datos durante los intercambios.
Contar con herramientas de colaboración y transferencia segura de archivos es una buena estrategia, ya que es una forma fácil, automática y segura de garantizar que dicha restricción se aplica en todas las transferencias de archivos.
7. Simplifique la protección de sus datos con una suite de soluciones confiables
Los CISOs harán bien en implementar una suite de soluciones en lugar de varias soluciones independientes. Pasándose a una suite de soluciones de Seguridad de datos, disfrutará de todas las ventajas que le proporciona un software flexible diseñado para trabajar con otro, con retorno de la inversión rápido y facilidad de integración.
Para garantizar la máxima protección, deberá optar por soluciones que den respuesta a las siguientes medidas de Seguridad:
- Entender y clasificar archivos que puedan contener información sensible
- Detectar y evitar filtraciones de información sensible fuera de su organización
- Asegurar y proteger la información sensible que se comparte tanto dentro como fuera de su organización
Además, dichas soluciones deberán ser intuitivas y fáciles de integrar, poner en marcha y adoptar, a fin de reducir la carga de trabajo del personal y el impacto en la productividad.
Simplificar la gestión de las distintas soluciones o proveedores podría compararse con una ronda de Jenga (el juego de bloques de madera). Si quita un bloque para encontrar una solución que está reemplazando, podría descubrir que la nueva solución no presenta la granularidad que necesita. Los proveedores que proporcionan soluciones bien diseñadas le dan equilibrio y sencillez.
8. La Seguridad por capas es una buena práctica para proteger los datos
La Seguridad de los datos es tan sólida como los distintos elementos que la componen. Una estrategia proactiva consiste en implementar capas de soluciones confiables para garantizar que su información confidencial permanecerá segura de principio a fin. La suite de soluciones de Seguridad de datos de Fortra le ofrece todo lo que necesita para proteger la información: identificación y clasificación, protección contra pérdida de datos, e intercambio de archivos y colaboración seguros.
¿Cómo podemos ayudarle a hacer frente a los desafíos de Seguridad de Datos?
Cada organización tiene desafíos de Seguridad de Datos diferentes y por eso requiere soluciones a medida de sus necesidades. Fortra puede ayudarle a solucionar los principales desafíos de Seguridad de Datos de su empresa ofreciéndole una suite de soluciones de Seguridad flexible, escalable e integrada.