¿Cómo pueden las organizaciones de todo el mundo evitar las filtraciones de datos?
En una época en la que los ataques de ransomware, la ciberseguridad y las filtraciones de datos ocupan los titulares, ¿cómo pueden las organizaciones mantenerse protegidas?
En una reciente Stephen Bowes, director de prácticas globales de gestión de datos y tecnologías de seguridad de BSI, se unió a Gareth Tranter, jefe de éxito de clientes de Exonar, y a otros expertos para debatir las medidas que las organizaciones deberán tener en cuenta para evitar las filtraciones de datos.
El debate puso de manifiesto que evitar las filtraciones de datos va más allá del equipo de TI, ya que se dirige a múltiples departamentos, personas y procesos. Las 7 acciones clave que surgieron de este debate son:
- Invertir en personas y tecnología
Invertir en profesionales de datos, equipos de gobernanza y herramientas tecnológicas. Sin los conocimientos y la tecnología adecuados, se acaban realizando procesos muy manuales para intentar gestionar los datos, lo que aumenta el riesgo para la organización.
Proporcione al personal la formación que necesita de forma continua, para concienciarlo y darle la capacidad de detectar un correo electrónico de phishing. El mayor reto es conseguir que la gente se preocupe y que siga haciéndolo. Hay que asegurarse de que la gente entienda que los equipos de seguridad y gobernanza de datos están tratando de ayudarles. Y que forman parte de un proceso mayor que contribuye a la seguridad de la organización.
Pruebe la gamificación de la concienciación en materia de seguridad para mantener el interés de la gente y dar vida al tema. Manténgalo fresco y variado, de lo contrario la gente dejará de participar. Utiliza métricas para medir lo que funciona y lo que no.
- Establezca los procesos adecuados
Es absolutamente fundamental que exista una estructura sólida de gobierno de datos con propietarios y administradores de datos en la empresa. Deben ser las personas que gestionan los sistemas que se utilizan y los datos que producen.
Los propietarios de datos deben ser capaces de tomar decisiones sobre la seguridad de los mismos. Lo más importante es que esto forme parte de la descripción de su trabajo, que se reconozca como un área clave de responsabilidad y que se le asigne tiempo. No hay que añadirlo a su trabajo diario y esperar que se haga. Además, hay que ser realista: no se puede dar a alguien la responsabilidad de 100.000 archivos no estructurados y esperar que tome medidas significativas.
Integrar la privacidad, la protección y la seguridad en el diseño de los datos. Por ejemplo, el proceso por el que se comparten los datos en su organización o donde se comparten los datos en un ecosistema.
- Llevar a la práctica las políticas de protección de datos
Formule sus políticas -son la guía de cómo debe gestionar y manejar los datos el personal de la empresa- pero no las deje como políticas sobre el papel. Hay que buscar la manera de poner en práctica esas políticas para que sigan siendo el centro de atención. Incorpore los principios y las políticas al proceso. Es un paso que la mayoría de las organizaciones no dan.
- Conseguir la participación de los consejos de administración
Las organizaciones han visto cómo las filtraciones de datos y la ciberseguridad se han elevado al nivel de la junta directiva debido a los muy publicitados ataques de ransomware de este año. Sin embargo, puede haber un síndrome de "esto nunca nos pasará a nosotros, preferimos correr el riesgo que gastar", por lo que puede ser difícil tener una conversación sobre la inversión en la mitigación de riesgos con los ejecutivos, especialmente si no ha habido una filtración. Hay que hablar con el consejo de administración en su propio idioma y averiguar qué es lo que les hace escuchar.
Aproveche el phishing, los ataques de ransomware u otros incidentes significativos en organizaciones relacionadas que les sean cercanos para aumentar la sensación de nivel de amenaza.
Busque proveedores de software que le permitan "probar antes de comprar", de modo que pueda hacerse una idea de la gravedad de los problemas de sus datos para poder elaborar el argumento comercial de la inversión.
- Utilizar ejercicios de simulación para demostrar lo que ocurriría si se produjera una filtración
Los ejercicios de simulación ayudan a los ejecutivos a comprender que si no se cuenta con los fondos o las herramientas para mitigar una filtración, el director ejecutivo acabará delante de la cámara defendiendo la empresa ante los clientes que han sido vulnerados.
Realice ejercicios de simulación para calcular cuál sería el impacto. Determinar cuál es el nivel de riesgo aceptable para las empresas. Considere los costes internos, cuáles son las implicaciones normativas y el impacto del daño a la reputación en caso de infracción con un análisis cuantitativo y cualitativo.
- Aprender de los errores
Si su organización es objeto de una filtración de datos, aprenda de lo que salió mal. La mayoría de las veces, las organizaciones pueden sacar provecho de una filtración si la manejan correctamente. Y si vuelve a ocurrir, será más fácil de contener. Una situación que parece especialmente oscura y sombría puede reportar beneficios a largo plazo.
- Averigüe qué datos tiene
Si no sabe cuáles son sus datos altamente sensibles, no podrá encontrarlos y no podrá asegurarlos. Llevar a cabo un programa de descubrimiento para exponer los riesgos, así como los valiosos datos "joya de la corona" de la organización. Te mostrará si puedes mejorar la seguridad si cambias algo tan simple como los permisos, por ejemplo. Podrás autoclasificar tus datos.
La asociación de BSI con Exonar, permite a los clientes de BSI la capacidad de encontrar y solucionar los riesgos en su cartera de datos a gran escala, utilizando una única plataforma. El software de descubrimiento de datos de Exonar crea un "índice de todo" con capacidad de búsqueda instantánea que revela la verdad sobre lo que hay en sus datos para que puedan reducir el riesgo, aumentar la eficiencia de la gestión de datos y descubrir el valor empresarial.
Descubra más sobre Exonar o póngase en contacto directamente con BSI y permítanos ayudarle a evaluar sus necesidades y desafíos.