Abordar la seguridad de los datos y las normas de cumplimiento para obtener resultados óptimos
Cuando se trata de datos, la seguridad y el cumplimiento van de la mano. Debido a normativas sobre privacidad de datos como el GDPR (Reglamento General de Protección de Datos de la UE), la CCPA (Ley de Privacidad del Consumidor de California) y la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Médicos), casi todas las empresas con presencia global necesitan cumplir algún tipo de norma de conformidad.
Para mantener la conformidad, es necesario contar con medidas sólidas de seguridad de los datos, por lo que debe abordar la seguridad de los datos y la conformidad como procesos integrados.
Cómo abordar la seguridad de los datos y el cumplimiento de las normas
He aquí algunos consejos para desarrollar con éxito un programa de seguridad de datos y cumplimiento de normas.
Prepárese para las solicitudes de acceso de los interesados
Tanto el GDPR como la CCPA abordan el derecho a la portabilidad de datos, o el derecho de un consumidor a acceder a cualquier información personal que una empresa tenga sobre él y transferir esos datos a otro proveedor en cualquier momento. Para ello, el consumidor debe presentar una solicitud de acceso. Si su empresa maneja datos sobre usuarios de la UE o California, debe prepararse para posibles DSAR, porque tiene un plazo limitado para facilitar los datos solicitados (45 días en California y 30 días en la UE).
Establecer un proceso DSAR estandarizado es vital para cumplir estos plazos tan ajustados. Por ejemplo, no hay ningún formulario DSAR oficial que deba utilizar, así que puede agilizar el proceso para usted y sus clientes creando un sencillo formulario PDF o web y colgándolo en su sitio web. También necesita un plan para identificar y localizar todos los datos de los consumidores cuando se soliciten, lo que probablemente requerirá algún tipo de herramienta de descubrimiento y clasificación de datos. Este software puede ayudarle a localizar, etiquetar y organizar sus datos en todas las plataformas para que no tenga que depender de los indexadores de búsqueda (a menudo más lentos y menos precisos) integrados en sus sistemas y aplicaciones.
También debe tener en cuenta el derecho a la portabilidad de los datos cuando aplique sus controles de seguridad de los datos. Según la CCPA y el GDPR, los consumidores pueden solicitar la transferencia de sus datos a una nueva plataforma en un formato común (por ejemplo, CSV o XML). Si usted es el proveedor de origen de esos datos, es responsable de cifrarlos durante el tránsito para mantenerlos seguros.
Implantar pruebas de conformidad automatizadas
Incluso después de haber implantado un programa de cumplimiento y privacidad de datos, puede que le resulte difícil mantener el cumplimiento a largo plazo. Una nueva dependencia de terceros puede introducir una vulnerabilidad que no haya tenido en cuenta con sus controles de seguridad, o el personal puede volverse complaciente y volver a los malos hábitos de privacidad de datos, por ejemplo. Una forma de garantizar la sostenibilidad del cumplimiento es implantar pruebas de cumplimiento automatizadas.
Una solución de pruebas de cumplimiento automatizadas supervisa continuamente sus sistemas y genera alertas automáticas cada vez que un recurso incumple la normativa. Esto le permite remediar el problema inmediatamente -y a menudo automáticamente- evitando que el recurso infractor y los sistemas dependientes continúen alejándose de la conformidad. Dado que algunas de estas violaciones de la privacidad de los datos pueden ser indicadores de lagunas en sus controles de seguridad, un programa automatizado de pruebas de conformidad también puede ayudarle a mejorar la seguridad general de sus datos y a prevenir posibles infracciones.
Crear una cultura de seguridad y cumplimiento
Aunque nuestro personal es nuestro mayor recurso, también es nuestro mayor riesgo para la seguridad. El error humano es la causa más frecuente de las violaciones de la seguridad de los datos, debido a cosas como los ataques de ingeniería social que engañan al personal para que facilite información confidencial, y a empleados negligentes que renuncian a las políticas de seguridad establecidas en aras de la comodidad. La única forma de evitar que el error humano sabotee la seguridad de los datos y el programa de cumplimiento es crear una cultura de seguridad dentro de la organización.
Necesita una formación en seguridad completa y continua para todo su personal, incluso para aquellos que no tratan con datos sensibles. Eduque a todo el mundo, desde los ejecutivos hasta el personal de recepción, sobre las tácticas habituales de ingeniería social, las mejores prácticas de seguridad y los aspectos básicos de la normativa aplicable. Esta formación tampoco debe impartirse una sola vez: el personal debe recibir repasos periódicos, así como orientación actualizada sobre nuevos sistemas, políticas y normativas.
Además, debe dejar claro que la privacidad y la seguridad de los datos son responsabilidad de todos, sin dejar de crear una cultura abierta que no castigue indebidamente las preguntas o los errores. Piénsalo: si un empleado hace clic accidentalmente en un enlace de phishing o deja entrar a un proveedor desconocido en una zona restringida, quieres que se sienta cómodo contándoselo a alguien de inmediato para que puedas resolver el problema lo antes posible. Si le preocupan las repercusiones, puede que intente ocultar el error, lo que podría dar lugar a una brecha que pasaría desapercibida durante mucho más tiempo.
Sigue el principio del menor privilegio
Partiendo del último punto, si una de tus cuentas de usuario se ve comprometida mediante ingeniería social (o si un empleado descontento lleva a cabo un ataque interno), ¿a cuántos datos protegidos tendría acceso un hacker con esa cuenta? A menudo, por una mala gestión de las políticas o por simple pereza, nuestros empleados, cuentas de servicio y aplicaciones reciben privilegios de acceso muy superiores a los que realmente necesitan para desempeñar sus funciones.
Cuantos más privilegios innecesarios tenga una cuenta, mayor será la superficie de ataque si esa cuenta se ve comprometida. Disponer de un proceso bien documentado, y con suerte automatizado, para conceder y revocar los permisos de los usuarios significa que cuanto antes pueda revocar el acceso en caso de compromiso, mejor.
Seguir el principio del mínimo privilegio (o PoLP, por sus siglas en inglés) refuerza la seguridad de los datos y el cumplimiento de la normativa al limitar el acceso a las cuentas y aplicaciones a lo estrictamente necesario. Esto es importante para normativas como la HIPAA, que exige que el acceso a la información personal se limite únicamente a los fines empresariales autorizados.
Si utiliza PoLP, sabrá que el único personal con acceso a los registros de la HIPAA es el que absolutamente lo necesita para fines empresariales, por lo que esencialmente cumplirá esta norma por defecto. El principio del menor privilegio también minimiza la superficie de ataque, ya que todas las entidades de la red tienen muy restringido el acceso a los recursos.
Abordar la seguridad de los datos y las normas de cumplimiento para obtener resultados óptimos
Si aborda conjuntamente la seguridad de los datos y el cumplimiento de las normas como una estrategia integrada, podrá mejorar su postura normativa y optimizar la seguridad al mismo tiempo.
Establecer un procedimiento DSAR, implantar soluciones de cumplimiento automatizadas, crear una cultura de seguridad y cumplimiento dentro de su organización y seguir el principio del menor privilegio garantizará el éxito de su programa de seguridad de datos y cumplimiento normativo. Este enfoque holístico de la seguridad de los datos y el cumplimiento normativo es difícil de desarrollar e implantar de la noche a la mañana, pero no tiene por qué abordarlo usted solo.