Dónde comenzar con su programa de seguridad de los datos

  • Security and Risk Management

seguridad correo email

La ciberseguridad, el ransomware y las violaciones de datos han aumentado la conciencia de los consumidores sobre sus datos personales. Además, están legislaciones como GDPR que conlleva posibles sanciones de hasta el 4% de los ingresos anuales globales por incumplimiento.

Entonces, ¿cómo pueden las organizaciones priorizar su programa de protección de datos y seguridad de la información en el contexto de perímetros que se evaporan rápidamente, datos accesibles desde cualquier lugar y la concepción equivocada de que “más es siempre mejor” cuando se trata de datos?

En primer lugar, es fundamental tener en cuenta la transparencia de su proveedor de nube en lo que respecta a la seguridad y la protección de datos. Una parte del cumplimiento es comprender los procedimientos de respaldo y recuperación de datos de su proveedor. Si su empresa está sujeta a requisitos de soberanía de datos, por ejemplo, no solo debe asegurarse de que los datos se mantengan en el país, sino también de que las copias de seguridad de esos datos también permanezcan en el país.

El mismo razonamiento se aplica a los requisitos de gestión de registros y destrucción de datos defendibles. Asegúrese de saber dónde residen todas las copias de sus datos. Este es un desafío para la mayoría de las empresas en sus propios sistemas, por lo que es clave establecer expectativas claras con sus proveedores de nube.

Comprender el plan de implementación para actualizaciones en la nube

Una de las ventajas de la computación en la nube es que los proveedores de servicios pueden innovar continuamente sus ofertas. Si bien esta es una gran ventaja desde una perspectiva tecnológica, puede generar implicaciones para la privacidad y la seguridad de los datos.

Una forma sencilla de abordar esto es pedirle al proveedor que primero introduzca las actualizaciones en una instancia de prueba o no de producción de su inquilino, para que sus equipos de seguridad y privacidad de datos puedan evaluar completamente cualquier riesgo. Solo entonces introducirán las nuevas funciones en los datos y sistemas de producción. Como mínimo, debe solicitar tiempo para revisar cualquier característica nueva con los equipos de privacidad, seguridad y cumplimiento de la empresa antes de seguir adelante.

Alinee lo que está protegiendo, dónde y cómo

Por último, debería poder responder cinco preguntas críticas a medida que establece el programa de protección de datos y seguridad de la información.

  • ¿Qué tipo de datos está tratando de proteger y de quién está tratando de protegerlos?
  • ¿Cuáles son los sistemas que utiliza dentro de su organización, así como con socios, proveedores y clientes?
  • ¿Cuál de estos sistemas tendrá datos protegidos?
  • ¿Cómo evitará que los datos confidenciales se almacenen en el lugar equivocado?
  • ¿Cómo se almacenarán los datos y fluirán a través de estos sistemas?

Hoy en día, muchas empresas no pueden responder a esas preguntas. Comprender qué son los datos, dónde residen y clasificarlos adecuadamente le permitirá establecer los niveles adecuados de protección. Por ejemplo, muchas empresas aplican los mismos protocolos y procedimientos de seguridad para todos los datos. Pero, ¿realmente necesita implementar los mismos protocolos de seguridad para proteger las imágenes del picnic de su empresa que para proteger la información de la tarjeta de crédito de sus clientes?

Empiece por comprender cómo los empleados utilizan los sistemas de TI, como Microsoft 365, Google Workspace, Slack, etc., que contienen información potencialmente en riesgo. Comprender eso le dará una mejor comprensión de las vulnerabilidades, para que pueda comenzar a establecer metas. Si bien la mayor conciencia sobre el ransomware y los piratas informáticos puede hacer que sea tentador establecer rápidamente requisitos y estándares de cumplimiento, no se apresure. Diseñe sus regulaciones después de establecer dónde están las amenazas y vulnerabilidades. En última instancia, es imposible proteger a una organización de todas las amenazas, pero si sigue los pasos descritos anteriormente, puede comenzar a minimizar el riesgo.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.