Pasos para una práctica sólida de privacidad de datos

Su empresa ha sobrevivido a los bloqueos de Covid-19; El personal administrativo y los empleados que pueden trabajar desde casa se han acostumbrado y, en general, no quieren volver a la oficina. Además, su empresa ha visto la oportunidad de reducir el espacio de oficina y, por lo tanto, ahorrar dinero. Su personal de TI hizo un trabajo excelente mejorando y reconstruyendo la infraestructura de TI para soportar mejor el trabajo remoto y eso probablemente incluyó la adaptación de la infraestructura de la empresa para usar más recursos basados ​​en la nube.

La compañía ahora se está acercando a una nueva normalidad y para respaldar mejor esto, decidió que necesitaba sangre nueva a nivel de directorio para abordar mejor el marketing y las ventas en Internet y los posibles problemas de privacidad de datos que pudieran surgir. Abordar estos requisitos significó contratar a un par de directores no ejecutivos (NED), uno con experiencia en la explotación de Internet y las redes sociales con fines de marketing, ventas y soporte de productos, y el otro con experiencia en aseguramiento de la información, seguridad de la información, Normativa de Protección de Datos y análisis de riesgos informáticos.

La NED de marketing contratada comenzó por iniciar una revisión de lo que la empresa ha hecho en el pasado, lo que salió bien y lo que no. Paralelamente, se inició un ejercicio para medir cómo se comparan los productos de la empresa con la competencia y cómo la competencia comercializa sus productos y cómo ejecuta las campañas publicitarias. Estas revisiones conducirán, con toda probabilidad, a cambios en toda la empresa que tendrán un impacto en la infraestructura de TI.

El otro NED, el NED de seguridad de información, comenzó preguntando: “¿Existe un inventario completo y actualizado de todos los datos almacenados o procesados ​​por la empresa?” Las respuestas típicamente iban desde “no” a “depende de los departamentos individuales”. Hay muy pocas empresas u organizaciones en las que los líderes puedan poner la mano en el corazón y responder “sí” a esa pregunta.

La razón por la que se hizo esa pregunta, y de hecho se hizo primero, es que si una empresa no sabe la totalidad de los datos que tiene, el valor de los datos y cómo se utilizan y almacenan, entonces es muy difícil, si no imposible, asegurar y controlar esos datos de manera efectiva.

Preparatorio para desarrollar o actualizar un inventario existente

Será necesario identificar varios tipos de datos, como los relacionados con RR.HH. o finanzas, pero al identificar estos diferentes tipos de datos, se debe advertir que un enfoque demasiado granular hará que sea más difícil de controlar de manera efectiva a lo largo del tiempo, mientras que un enfoque que es no lo suficientemente granular no abordará la privacidad de los datos correctamente.

Cada tipo de datos debe tener un solo propietario de datos y el trabajo de ese propietario de datos es identificar, por política y procedimiento, quién o qué proceso puede acceder a sus datos y con qué propósito (crear, solo lectura, leer / escribir / copiar, procesar , archivar o eliminar). Es probable que en una organización grande, el propietario de los datos delegue el control diario de sus datos a otros conocidos específicos. En las pequeñas y medianas empresas (PYME), es probable que los propietarios de los datos lleven a cabo el control diario de sus datos.

El inventario de datos

Una vez que se conozca el resultado de esa pregunta sobre el inventario de datos, es muy probable que se inicie una revisión completa de “drenaje”, lo que conducirá al desarrollo de un inventario de datos nuevo o revisado, que debería:

  • Manténgase actualizado.
  • Estar debidamente identificado por tipo (finanzas, ventas, RRHH, etc.).
  • Tenga un propietario de datos apropiado para cada tipo de datos.
  • Identificar el valor del tipo de datos, como público, interno de la empresa, privado de la empresa, personal y sensible personal, etc.
  • Identificar fechas de archivo y destrucción de datos.
  • Identifique quién o qué proceso puede acceder y utilizar cada tipo de datos.
  • Identifique las restricciones de acceso, como el acceso solo interno, las restricciones de hora del día, si se requiere autenticación de dos factores (2FA o MFA), etc.
  • Identifique todas las ubicaciones donde se almacenan o mantienen los datos de cada tipo de datos, junto con un método para identificar la versión de los datos. Esto debe incluir dónde se han descargado los datos a PC individuales, se han copiado en discos CD / DVD o memorias USB y el almacenamiento de archivos.

Está disponible un inventario de datos revisado, ¿qué sigue?

Una vez que tengamos ese inventario de datos actualizado, ¿cómo ayudará a abordar y optimizar la privacidad de los datos? En sí mismo, el inventario es una de las herramientas, pero muy necesaria para desarrollar un plan que conduzca a una infraestructura más segura.

Un complemento esencial del inventario de datos es la política asociada con la creación de credenciales de usuario y el mantenimiento continuo. Estas políticas deben incluir cuándo se llevan a cabo revisiones para identificar si una cuenta aún debería poder acceder a los datos (y con qué propósito) o si es una cuenta obsoleta y cómo se manejan las cuentas obsoletas (eliminadas o desactivadas y el período entre la desactivación). y eliminación).

Otros insumos para asegurar la infraestructura incluirán los planes futuros y la dirección estratégica de la empresa y los departamentos individuales. Estas entradas, junto con el inventario de datos, permitirán la identificación de los requisitos técnicos de seguridad para cada tipo de datos, por ejemplo, mediante la configuración de autorización y autenticación controlada de Active Directory (o equivalente), almacenamiento físico separado o almacenamiento dedicado con cortafuegos.

Por ejemplo, es probable que los datos de diferentes divisiones de la empresa deban separarse de los datos de otros departamentos y algunos datos que se consideren confidenciales o secretos deberán protegerse a un nivel más alto que otros datos.

El acceso a los datos requerirá que un usuario o proceso esté en una unidad organizativa y un grupo específicos y que tenga el nivel de autorización adecuado. También se podrían aplicar restricciones de acceso adicionales, como la hora del día y si 2FA está en uso; por ejemplo, a un usuario que accede a datos desde una ubicación remota se le puede dar una vista restringida de los datos en comparación con un acceso en la oficina a menos que sea durante Se utiliza horario comercial y 2FA. Estas decisiones dependerían de una evaluación de riesgos de cada tipo de datos frente a varias arquitecturas de TI y el apetito de riesgo general de la empresa.

En términos de infraestructura, los datos departamentales generales normalmente podrían segregarse limitando el acceso por unidad organizativa y / o configuración de grupo en Active Directory (AD o equivalente), aunque en algunos casos es posible que los datos departamentales deban almacenarse en almacenes de datos físicamente separados. Lo que se puede hacer con cualquier dato se puede controlar mediante la configuración del rol de autorización en AD.

En lo que respecta a datos confidenciales y secretos, el control de acceso estará sujeto a estas mismas configuraciones, pero adicionalmente el acceso estaría limitado a personas o grupos de personas específicamente autorizados y a direcciones IP potencialmente específicas. También es probable que requiera que los datos se separen de otros datos por medios físicos. La razón aquí es que el medio de almacenamiento al final de su vida útil o en modo de falla debe destruirse a un nivel más alto que los medios de almacenamiento utilizados para datos no confidenciales.

Conclusiones clave

  • Necesita saber dónde se almacenan y utilizan los datos, porque si no lo sabe, no puede controlarlos.
  • El propietario de los datos es clave para identificar y controlar quién o qué proceso puede acceder y utilizar los datos.
  • Comprender el valor de los datos y comprender cómo las diferentes técnicas de seguridad pueden proteger los datos es clave para desarrollar una evaluación de riesgos y, en última instancia, la arquitectura de seguridad elegida.
  • Los controles de acceso de usuarios y procesos deben basarse en una estricta “necesidad de saber”. El hecho de que una persona sea un gerente senior no significa que necesite acceder a todos los archivos o elementos de datos dentro de su empresa, unidad organizativa o departamento.
  • Lo ideal es que los controles de acceso tengan en cuenta el punto de origen de un usuario o proceso y, posiblemente, la hora del día. 2FA para los usuarios es una forma valiosa de mejorar la seguridad de la red y la privacidad de los datos al mejorar significativamente el acceso a la infraestructura de una empresa.
  • La información confidencial y secreta debe mantenerse separada de otros datos e idealmente en una tienda física separada. El acceso a este tipo de datos también debe restringirse a los puntos de origen conocidos, por ejemplo, la autorización no solo para un departamento, sino también para los usuarios o grupos de usuarios debidamente autorizados dentro de un departamento. Además, es posible que se requiera un punto de origen autorizado, como direcciones IP conocidas.

Finalmente, no olvide lo básico:

  • La infraestructura de TI debe estar completamente documentada, incluidos, entre otros, todos los servicios subcontratados, licencias, diseños de edificios (salas de computadoras, armarios de cableado, etc.).
  • Todos los puntos de acceso externos a la infraestructura (a través de la Internet pública y de terceros) deben contar con un cortafuegos adecuado con zonas desmilitarizadas con dispositivos de tipo proxy que proporcionen una capa de aislamiento entre los procesos internos de la empresa y el mundo exterior.

También deberá asegurarse de que:

  • Todo el software (y firmware) está actualizado.
  • Los parches de seguridad se aplican de manera oportuna.
  • Las herramientas de prevención de entrada de virus y malware están en su lugar, operativas y mantenidas.
  • Hay un proceso de monitoreo de seguridad implementado y se está utilizando.
  • Existe un programa regular de controles de salud de seguridad de TI y pruebas de penetración externas en su lugar.
  • El personal de TI y seguridad es parte de un programa continuo de desarrollo profesional continuo.
  • Que se haya implementado y mantenido un programa de concientización sobre seguridad en toda la empresa.
Más contenido para leer:  El Ministerio de Defensa del Reino Unido recurre a los piratas informáticos para ayudar a proteger los activos digitales

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales