3 consejos para CISO acerca de la protección de los datos
CISO
Los datos son el alma de cualquier organización. Tanto si es director de seguridad de la información, cargo también denominado como CISO, como si aspira a convertirse en uno, la protección de los datos empresariales confidenciales deber ser su principal prioridad.
El daño producido por una violación de datos afecta a toda la compañía en su conjunto, provocando una disminución del valor de la marca y mermando la confianza del consumidor. Estos ataques relacionados con la seguridad de la información también provocan una disminución de la confianza de los accionistas, auditorías fallidas y un mayor escrutinio por parte de las agencias reguladoras.
De cara a la protección de datos, el CISO debe preocuparse tanto por protegerse contra ataques de ransomware como frente a los riesgos dentro de su propia organización. Las fugas internas de datos confidenciales, el robo de propiedad intelectual, el fraude o las infracciones normativas pueden hacer colapsar a una empresa. A continuación, se proporcionan cuatro consejos a tener en cuenta por parte de los CISO, dada la amplitud del patrimonio digital actual del que disponen las organizaciones, incluyendo tanto el que se encuentra en las instalaciones como en la nube.
1. Tenga en cuenta las amenazas internas
En las empresas de todo el mundo es muy común que haya miembros de la plantilla que abandonen la organización y otros que entren. Todo de forma muy frecuente. Este cambio masivo en el estado laboral viene acompañado de un riesgo a considerar por parte de las organizaciones.
Muchos de esos empleados en transición, de manera intencionada o no, se irán con datos confidenciales almacenados en dispositivos personales o a los que poder acceder a través de una nube de terceros. En este sentido, el CISO es el responsable de la distribución de datos en múltiples plataformas, dispositivos y cargas de trabajo. Por ello, deberá considerar cómo interactúa esa tecnología con los procesos comerciales de su organización.
Eso incluye la implementación de políticas orientadas a evitar las filtraciones de datos, especialmente en sectores como finanzas o atención médica. Para ello, habrá que preguntarse quién puede acceder a los datos; dónde deben alojarse estos datos; cómo se pueden utilizar; y cómo evitar compartirlos en exceso.
Para dar respuesta a estas cuestiones y prevenir la pérdida de datos se recomienda la utilización de una solución nativa de la nube. Esta permite administrar de forma centralizada todas las políticas de prevención de pérdida de datos en dispositivos y recursos compartidos de archivos locales. Este tipo de solución unificada no requiere infraestructura ni agentes adicionales, lo que ayuda a mantener bajos los costos.
Una buena solución para dar respuesta a las amenazas internas deberá tener las siguientes características:
- Transparente, que permita equilibrar la privacidad del usuario con el riesgo organizacional de pérdida de datos.
- Configurable, habilitando las políticas necesarias en base en su industria, ubicación geográfica y grupos comerciales.
- Integrado. Manteniendo un flujo de trabajo integrado en todos los datos, independientemente de la ubicación en que residan dichos datos.
La protección contra amenazas internas debe definir cuáles son los posibles eventos desencadenantes, así como indicadores de riesgo que requieran examen.
2. Automatice e integre su estrategia de datos
Hay muchas organizaciones que se resisten a hacer uso únicamente de un proveedor. Es por ello que la mayoría de los CISO tienen que enfrentarse a grandes cantidades de datos distribuidos tanto en el almacenamiento local como en la nube.
Si los grandes volúmenes de datos con los que cuenta una compañía no se clasifican correctamente como confidenciales, es difícil protegerlos e implementar políticas de prevención de pérdida de datos. En este sentido es recomendable simplificar siempre que sea posible, utilizando una solución integral para ayudar a proteger todo el patrimonio digital de la compañía.
3. Haga de la protección de datos un esfuerzo de todo el equipo
Una de las principales responsabilidades de cualquier CISO es proteger la propiedad intelectual de la organización. Entre los elementos que la componen se incluyen todos aquellos que proporcionen a la empresa una ventaja competitiva. Con el aumento en la cantidad de datos y los estándares regulatorios en continuo cambio se espera que los CISO protejan los datos de los usuarios. Se prestará especial atención en los sectores tanto sanitarios como de finanzas.
Las actuales leyes de privacidad también están aumentando las restricciones acerca del uso, la retención y la ubicación de los datos de los usuarios. Esto es así tanto internamente como con proveedores externos. El CISO de cualquier empresa actual necesita trabajar mano a mano con profesionales de protección de datos, privacidad y TI.
Esto significa que, en lugar de duplicar esfuerzos o competir por territorio, un CISO efectivo debe adoptar una solución unificada. De esta forma será posible proteger los datos y ayudar a eliminar posibles redundancias, manteniendo a todo su equipo de seguridad trabajando bajo el mismo guion.
Software ISOTools
La implantación de un Sistema de Gestión de Seguridad de la Información puede llegar a ser un proceso complejo que requiera de mucho tiempo y esfuerzo. Desde ISOTools Excellence le ofrecemos el Software ISOTools que permite la implantación de una forma cómoda y sencilla, donde se abordan todas las cuestiones necesarias que se plantean para su elaboración en una organización.