Mejores prácticas de Seguridad de datos que todo CISO debería conocer

Ser el responsable de la información y la Seguridad de los datos de una organización – CISO – es una tarea ardua, sobre todo sabiendo que la cuestión no es si se producirá un ciberataque, sino si se producirá cuando usted esté a cargo. Ya sea una filtración masiva de datos que llegue a los titulares de los periódicos o un simple error humano que ponga en jaque todas sus operaciones, sus finanzas y su reputación se verán afectadas durante años. Según un estudio de IBM, el coste medio de una filtración de datos se estima en 3,92 millones de dólares.

Las empresas hacen malabares para integrar las iniciativas en materia de Seguridad de datos con sus propias estrategias organizativas. Como CISO, entender mejor el Negocio permitirá tomar decisiones estratégicas acerca de los procesos de protección de los datos.

A continuación, proponemos algunas buenas prácticas que los CISOs y otros profesionales de Seguridad pueden implementar en sus organizaciones.

1. Piense qué necesita proteger y por qué

Todas las decisiones en materia de Seguridad de datos deben someterse a la siguiente pregunta: ¿qué necesita proteger y por qué? Si no conoce la respuesta a estas dos preguntas tan genéricas, no vaya más allá.

Disponer de las respuestas le permitirá empezar a desarrollar su estrategia, a la par que se mantiene enfocado en la misión organizacional de su empresa.

2. Conozca qué tipos de datos tiene y dónde se encuentran

Antes de tomar ninguna decisión para proteger su información confidencial, es fundamental saber dónde se alojan estos datos. ¿On-premise, en la nube, en entornos de terceros? Audite dónde se encuentran sus datos y documéntelo.

En un estudio reciente llevado a cabo por Fortra, los CISOs coincidieron en que la visibilidad de los datos constituye la mayor vulnerabilidad para la ciberseguridad. Después de todo, ¿cómo pueden las empresas controlar y administrar sus datos de forma eficiente si no saben qué tipos de datos tienen, dónde se alojan, cómo se comparten y quién tiene acceso a ellos?

Lea también: Las 8 Mejores Prácticas Para La Formación En Protección De Datos

Conocer estos aspectos en detalle empodera a las empresas a la hora de gestionar y controlar su información, y permite adoptar una solución tecnológica más centralizada y efectiva.

3. Clasifique su información

Para empezar con buen pie, es necesario identificar y clasificar qué tipo de datos se deben proteger, incluida la información crítica no estructurada, como la propiedad intelectual. Con estas medidas, también asegura los parámetros básicos de control y administración necesarios para ayudar a garantizar el Cumplimiento normativo.

Contenido relacionado: El primer error de la ciberseguridad y cómo solventarlo a través de la estrategia CSaaS

Las organizaciones deben adherirse a un número cada vez mayor de requisitos (normativas, leyes y estándares de Cumplimiento) sin disponer de un contexto sobre qué información necesita administrarse y protegerse. Tanto si necesita proteger información pública, financiera, de identificación personal (PII) como de otro tipo, clasificar la información sienta las bases para poder añadir las capas de Seguridad extra necesarias para seguir protegiendo la información en todas sus operaciones. La clasificación de datos básicamente sirve a modo de señal de advertencia durante el tránsito de la información, por ejemplo, aplicando etiquetas de metadatos a la información confidencial.

4. Conozca el flujo de sus datos

Una vez sepa qué tipo de datos administra, necesitará saber de dónde vienen, y también a dónde se dirigen en términos geográficos. Hay que tener en cuenta las normativas nacionales e internacionales que deben cumplirse a la hora de gestionar los datos en reposo y en tránsito, sobre todo si se realizan transferencias internacionales.

Cumplir y adherirse a los estándares de cumplimiento gubernamentales o de la industria resulta mucho más sencillo si se cuenta con una serie de soluciones de Seguridad de datos que trabajan de forma coordinada.

5. Por defecto, otorgue derechos mínimos: acceso escalado hacia arriba y no hacia abajo

Las soluciones de software efectivas pueden personalizarse a fin de controlar el acceso y los derechos que se otorgan a los usuarios que pueden disponer de la información confidencial. En lugar de dar carta blanca al acceso interno o externo a la información que requiere protección, puede empezar concediendo los mínimos derechos posibles, y ampliándolos a medida que la empresa lo necesite, transferencia a transferencia, o durante un plazo limitado.

6. Acceso basado en roles y autenticación multifactor

Otro buen ejemplo a la hora de proteger la información confidencial es implementar un acceso basado en roles con el objetivo de limitar los puntos de acceso en una organización.

Instaurar la autorización multifactor protege aún más el acceso a sus datos durante los intercambios.

Contar con herramientas de colaboración y transferencia segura de archivos es una buena estrategia, ya que es una forma fácil, automática y segura de garantizar que dicha restricción se aplica en todas las transferencias de archivos.

7. Simplifique la protección de sus datos con una suite de soluciones confiables

Los CISOs harán bien en implementar una suite de soluciones en lugar de varias soluciones independientes. Pasándose a una suite de soluciones de Seguridad de datos, disfrutará de todas las ventajas que le proporciona un software flexible diseñado para trabajar con otro, con retorno de la inversión rápido y facilidad de integración.

Para garantizar la máxima protección, deberá optar por soluciones que den respuesta a las siguientes medidas de Seguridad:

• Entender y clasificar archivos que puedan contener información sensible
• Detectar y evitar filtraciones de información confidencial fuera de su organización
• Asegurar y proteger la información confidencial que se comparte tanto dentro como fuera de su organización

Además, dichas soluciones deberán ser intuitivas y fáciles de integrar, poner en marcha y adoptar, a fin de reducir la carga de trabajo del personal y el impacto en la productividad.

Otros artículos: Consejos de ciberseguridad para trabajadores independientes

Simplificar la gestión de las distintas soluciones o proveedores podría compararse con una ronda de Jenga (el juego de bloques de madera). Si quita un bloque para encontrar una solución que está reemplazando, podría descubrir que la nueva solución no presenta la granularidad que necesita. Los proveedores que proporcionan soluciones bien diseñadas le dan equilibrio y sencillez.

8. La Seguridad por capas es una buena práctica para proteger los datos

La Seguridad de los datos es tan sólida como los distintos elementos que la componen. Una estrategia proactiva consiste en implementar capas de soluciones confiables para garantizar que su información confidencial permanecerá segura de principio a fin.

FUENTE: »Mejores prácticas de Seguridad de datos que todo CISO debería conocer» Goanywhere.com. 11/08/2022. (https://www.goanywhere.com/es/blog/mejores-practicas-seguridad-datos-ciso).