Skip to content
Kenneth Daniels18-ene-235 min read

Elementos clave de una estrategia de intercambio de información segura y sensible

Se ha dicho, los datos son como el nuevo aceite. Que significa exactamente? Como el petróleo, los datos son una mercancía. Pero a diferencia del petróleo, el valor de los datos no es susceptible a la oferta y la demanda. Los datos siempre están en demanda. ¿Por qué? Los datos proporcionan comprensión. Y las conclusiones que se extraen de la comprensión pueden ser optimizadas o, mejor aún, monetizadas.

Tomemos por ejemplo un minorista en línea de productos para bebés. Si un cliente compra pijamas para bebés, el minorista puede deducir que también podría necesitar un monitor de bebé o una luz de noche. El minorista sugerirá estos artículos al retirar y al hacerlo aumentará la probabilidad de compras adicionales. También pueden deducir que, en 12 meses, el cliente podría necesitar zapatos para caminar para el bebé. Y 24 meses después, un triciclo. Después de eso, el minorista puede asociarse y compartir sus datos con negocios complementarios como preescolares, oftalmólogos pediátricos y zoológicos.

Además de comprar historial, también hay datos más banales, pero en muchos aspectos, datos más valiosos para los piratas informáticos, como nombres, números de tarjetas de crédito, fechas de vencimiento, direcciones de correo, direcciones de facturación y más. La información médica, especialmente los registros de pacientes, es una clase específica de datos sensibles, protegidos por regulaciones como HIPAA. En conjunto, no es difícil ver que los datos son más que una mercancía valiosa, es un activo digital.

Al igual que otros activos, los datos sensibles necesitan ser protegidos. La seguridad de los datos no sólo es una buena práctica comercial, sino que en muchas industrias altamente reguladas, como la asistencia sanitaria y los servicios financieros, es necesaria. Las brechas de datos que involucran a piratas informáticos que identifican vulnerabilidades en una red de TI, los empleados que están siendo engañados para abrir un archivo adjunto que contiene malware o ransomware o los empleados que salen de clientes o información de producto a un competidor son sólo algunos ejemplos de cómo las organizaciones pueden perder datos valiosos. Coincidentemente, estas son también formas en que las organizaciones pueden perder clientes y el valor de la marca y aumentar el riesgo de multas de los reguladores.

Así que, ¿qué pueden hacer las organizaciones para garantizar que su información confidencial se mantenga segura, no sólo cuando se almacena, sino también cuando se comparte externamente con socios de confianza como consultores de administración, abogados, socios de marketing compartido o analistas de datos de terceros?

Aquí hay algunos pasos clave que no sólo permitirán a las organizaciones reducir el riesgo de una violación de información privada, sino también demostrar a los reguladores o auditores que tienen los controles de gobierno apropiados en su lugar para proteger esa información.

SEPA DÓNDE SE ALMACENA SUS DATOS

A medida que las organizaciones crecen, acumulan más datos y requieren más lugares para almacenar esos datos, tanto en el local como en la nube. Microsoft SharePoint y OneDrive para empresas, OpenText, Box, Dropbox, Google Drive, unidades domésticas y archivos compartidos de Windows son sólo algunos de los muchos repositorios de contenido donde los usuarios pueden almacenar sus datos. Es imprescindible para las organizaciones saber – y ser capaces de demostrar – donde la información sensible se almacena a través de este paisaje cada vez más expansiva.

Algunas regulaciones, por ejemplo GDPR, requieren que los datos permanezcan en un país o región específicos. Datos de los clientes, contratos, archivos personales, pronósticos de ventas, solicitudes de patentes, financieros. Si las organizaciones saben dónde están almacenados estos archivos, pueden controlar quién tiene acceso a ellos y supervisar lo que ocurre con ellos. Si no lo saben, entonces nadie lo adivinará. Esto explica por qué algunas brechas de datos no se detectan durante meses o incluso años. En última instancia, no puede proteger algo si no lo encuentra.

SABER QUIÉN TIENE ACCESO A SUS DATOS

No todos los empleados deben tener acceso a todos los archivos de la organización, y como los archivos se comparten más allá de las fronteras de la empresa se hace aún más crucial para controlar el acceso. Si no puede administrarse el acceso a los sistemas que contienen su información confidencial, tiene un problema de gobierno significativo. Cabe señalar que los permisos de información confidencial pueden (y deben) variar. Algunos empleados o socios de negocios pueden requerir acceso completo al contenido (editar, descargar, compartir, etc.), mientras que otros deben tener acceso de sólo vista y se les impide descargar o compartir.

También debe señalarse que los permisos son sólo el primer paso para proteger la información sensible. Las características de seguridad, como la autenticación de múltiples factores, garantizan que el individuo que solicita el acceso no distorsiona su identidad y la tecnología DLP puede integrarse con el uso compartido de archivos para definir políticas para controlar cuándo y cómo se envían los datos confidenciales fuera de la organización. el riesgo de acceso no autorizado.

SABER EXACTAMENTE LO QUE ESTÁ SUCEDIENDO CON SUS DATOS

Una extensión crítica de saber dónde se almacenan sus datos y quién tiene acceso a él es saber qué se está haciendo con él. La capacidad de las organizaciones para tener una visibilidad completa de toda la actividad de archivo, así como la capacidad de compartir esta actividad con los auditores, reguladores, agencias de aplicación de la ley y los equipos legales es crítica para identificar fugas de datos y demostrar el cumplimiento con las regulaciones de la industria.

Suponga que antes de renunciar, un empleado comenzó a abrir, descargar, reenviar e imprimir muchos archivos a los que no había accedido anteriormente. Si bien puede haber sido autorizado a acceder a ese contenido en el momento, si algunos de estos datos posteriormente se encuentran que se han filtrado, los registros de la actividad de este ex empleado será valioso en la identificación de la fuente.

En los casos de una auditoría de cumplimiento, para confirmar si las políticas internas están siendo seguidas, o para satisfacer requisitos reguladores específicos, conocer los detalles de quién firmó, de qué dispositivo y precisamente lo que vio, editó o descargó es crucial para probar controles están en su lugar.

Tener el conocimiento de dónde reside la información confidencial de su organización, qué empleados y socios de negocios tienen acceso a ella y lo que están haciendo con ella permite a las organizaciones mitigar el riesgo de una fuga de datos y demostrar el cumplimiento con los reguladores. También da a las organizaciones un sentido de control sobre sus datos, que es cada vez más difícil de hacer cuando la cantidad de datos está aumentando exponencialmente.

Fuente: https://www.helpnetsecurity.com/2017/09/07/sensitive-information-sharing-strategy/

ARTÍCULOS RELACIONADOS