7 principales normas de cumplimiento relacionadas con el almacenamiento de datos

Las normativas de cumplimiento relacionadas con el almacenamiento de datos bastan para infundir miedo a los directivos y empleados de las empresas. Este complejo ámbito de la seguridad de la información está plagado de normas y de objetivos en constante cambio. Todos los días, vemos las consecuencias de los fracasos a medida que las empresas informan de violaciones masivas que causan multas significativas, pérdida de negocios y las abren a litigios. Solo en 2019, hubo más de 3800 brechas reportadas por las empresas. Sin embargo, un enfoque práctico y proactivo a menudo puede cerrar muchos de los agujeros que abren a las empresas al riesgo y dar a los CIO cierta tranquilidad.

Las empresas prácticas y proactivas incorporan el cumplimiento a sus sistemas desde el principio: forma parte del diseño básico, no es una ocurrencia tardía. Recuerde que no se trata sólo de controlar el acceso a los datos, sino también cómo se utilizan. Supervisar la actividad de los datos puede ayudar a las empresas a identificar claramente los riesgos. Por supuesto, un buen socio de seguridad es un componente vital para adoptar este enfoque proactivo.

7 Normas generales de cumplimiento relativas al almacenamiento de datos

La normativa sobre datos varía mucho de un sector a otro, así como entre los sectores público y privado. Normalmente, en la gestión de datos públicos existen leyes que permiten a los usuarios acceder a los datos, como la Ley de Libertad de Información. En su mayor parte, las empresas privadas son propietarias de sus datos y no están obligadas a revelarlos a ciudadanos particulares sin una orden judicial.

Relacionado: Ventajas de Salesforce CI/CD para CDOs

7 Normas generales de cumplimiento relativas al almacenamiento de datos | Copado

Dependiendo del sector, existe una amplia gama de normativas que los responsables de seguridad deben gestionar. Por ejemplo, los del sector financiero deben lidiar con la Ley Gramm-Leach-Bliley (GLBA) y la Ley de Informes de Crédito Justos, entre otras. Los proveedores sanitarios tienen que gestionar las complejidades de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Para las empresas que atienden o trabajan con niños, existen consideraciones especiales en virtud de la Ley de Protección de la Privacidad Infantil en Internet (COPPA). Y todas las empresas públicas deben rendir cuentas ante la ley Sarbanes-Oxley. Entre todas estas leyes diversas, es posible ver algunos hilos comunes que pueden guiar las normas generales de cumplimiento relacionadas con el almacenamiento de datos:

Divulgación: La empresa debe explicar al cliente qué datos se recogen, con qué fin y describir los métodos de almacenamiento.
Políticas de privacidad: Las políticas de privacidad relativas a los datos y su mantenimiento deben estar a disposición del público.
Cifrado y anonimización: Todos los datos sensibles -tanto los que están en reposo como los que están en movimiento- deben cifrarse en caso de que intervengan agentes hostiles. En algunos casos, los datos se anonimizan para eliminar la información de identificación personal.
Cortafuegos y control de acceso: Deben establecerse medidas de seguridad adecuadas para impedir el acceso y seguir el principio del mínimo privilegio.
Registros de auditoría: El uso de los datos debe poder rastrearse hasta un único actor para garantizar un control de acceso adecuado. Estos registros deben almacenarse en un sistema centralizado con acceso limitado.
Calendario de conservación: Los datos deben conservarse durante un periodo determinado antes de ser eliminados del sistema. Los requisitos varían mucho en función del tipo de datos y del sector. En algunos casos, el mantenimiento perpetuo es la norma.
Notificaciones de infracciones: Las empresas deben notificar a todas las partes implicadas las violaciones, el impacto en sus registros y las soluciones al problema. También deben comentar qué están haciendo para mitigar futuros problemas.

Relacionado: Por qué las encuestas de ciberseguridad son importantes: guía para realizar una encuesta

Dado que no existe una única normativa que cubra todos los tipos de empresas, puede resultar complicado gestionar el cumplimiento. Aquí es donde asociarse con una empresa de DevSecOps de confianza puede ayudarle a navegar por el mar del cumplimiento.

Herramientas para gestionar la conformidad de los datos

Aunque gran parte de la atención sobre la seguridad de los datos se centra en limitar el acceso y mitigar el riesgo, una preocupación significativa proviene de cómo se utilizan los datos en primer lugar. Este esfuerzo consta de dos etapas principales: la planificación inicial de qué datos deben recopilarse y por qué, y la supervisión activa de los datos. Esto puede ayudar a los responsables y equipos de seguridad a revisar los comportamientos que consideran preocupantes y a cambiarlos antes de que se conviertan en un problema. También hay muchas herramientas disponibles para ayudarles. Algunas a tener en cuenta son:

Software de gestión de registros de eventos: La capacidad de supervisar los datos de un sistema para detectar comportamientos anómalos puede ayudar a los gestores y equipos a descubrir posibles problemas antes de que se conviertan en problemas graves. Los registros pueden mostrar cosas como un gran número de intentos de acceso o intentos de acceso fuera del horario laboral, así como comportamientos indicativos de un uso inadecuado de los datos.
Clasificación y etiquetado de datos: Los datos deben identificarse por su sensibilidad, fuente y niveles de acceso. Los conjuntos de datos organizados garantizan que se aplique el nivel adecuado de seguridad, al tiempo que agilizan el acceso de quienes lo necesitan.
Controles reglamentarios integrados: Es posible integrar el cumplimiento normativo en el almacenamiento en función de las leyes específicas que afectan al sector. Por ejemplo, un sistema de almacenamiento para un proveedor de servicios sanitarios puede llevar incorporados protocolos de cumplimiento de la HIPPA, mientras que uno bancario se centra en la GLBA. Este proceso es un medio automatizado de cumplir las leyes específicas del sector minimizando los retos.
Auditorías de terceros: La mejor forma posible de identificar posibles agujeros en el sistema de almacenamiento de datos, para racionalizarlo y automatizarlo, es encargar una evaluación a terceros. La opinión de un experto proporcionará medidas proactivas que permitirán la mejora continua del sistema a medida que surjan nuevas amenazas.

Relacionado: Creación de resiliencia cibernética en un entorno de alerta intensificado

Gestionar el cumplimiento de la normativa sobre almacenamiento de datos es un trabajo a tiempo completo. Para evitarlo, es aconsejable automatizar tantas tareas de seguridad como sea posible, al tiempo que se incorpora el cumplimiento específico del sector. Al automatizar los procesos teniendo en cuenta las restricciones normativas, nuestros clientes pueden adoptar un enfoque más llave en mano de la gestión de datos. Las necesidades de datos de una empresa no harán más que crecer con la organización; se necesita un programa de seguridad proactivo diseñado para expandirse con ella.

7 principales normas de cumplimiento relacionadas con el almacenamiento de datos

7 Normas generales de cumplimiento relativas al almacenamiento de datos

Herramientas para gestionar la conformidad de los datos

La Oficina de Inspección y Exámenes de Cumplimiento de la SEC advierte sobre un aumento repentino en el pirateo de Credential Stuffing

La popular app SmartTube repartió por error software malicioso en sus últimas actualizaciones para televisores

Equipo de ciberseguridad: buenas prácticas en crisis

Ghidra: resaltado de texto del cursor

Automatización de pruebas ROI: Cómo calcularlo

Por qué la ciberseguridad es una tendencia: razones actuales

7 Normas generales de cumplimiento relativas al almacenamiento de datos

Herramientas para gestionar la conformidad de los datos

Publicaciones Similares