Cómo garantizar el cumplimiento de las normas y reglamentos de seguridad de datos
Casi todas las organizaciones con presencia global están sujetas a la normativa sobre privacidad de datos, que son requisitos legales sobre cómo se procesan, almacenan y acceden a los datos. Además, una serie de normas de seguridad de datos proporcionan orientación sobre cómo garantizar la privacidad y seguridad de los datos sensibles. En este artículo, analizaremos algunas de las normas y reglamentos más comunes en materia de seguridad de los datos antes de ofrecer consejos para garantizar un cumplimiento continuo.
Normas comunes de seguridad de datos
La normativa de seguridad de datos que debe cumplir dependerá de dónde se encuentren su empresa y sus clientes (o socios, empleados, etc.) y de los tipos de datos que trate.
Algunas de las normativas más comunes son:
GDPR
CCPA
El Reglamento General de Protección de Datos (RGPD) se aplica a cualquier organización que procese datos personales de residentes en la Unión Europea. El GDPR exige a las organizaciones que sigan unas directrices de seguridad específicas para proteger los datos personales y otorga a los consumidores el derecho a solicitar cualquiera de estos datos personales en un formato universal para poder transferirlos a otro proveedor (lo que se conoce como portabilidad de datos).
La Ley de Privacidad del Consumidor de California (CCPA) se aplica a las organizaciones californianas con al menos 25 millones de dólares de ingresos u organizaciones que posean al menos 50.000 datos de residentes en California. La CCPA otorga a los residentes de California el derecho a saber qué datos tiene una empresa sobre ellos y con qué terceros los ha compartido. Al igual que el GDPR, la CCPA también contiene normas de portabilidad de datos que permiten a los consumidores obtener y transferir sus datos personales.
PCI DSS
CPRA
La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) afecta a cualquier empresa que procese, almacene o transmita información de tarjetas de crédito. La PCI DSS establece requisitos estrictos de seguridad de la red, controles de acceso, prevención de intrusiones, etc., para proteger los datos de las tarjetas.
La Ley de Derechos de Privacidad de California (CPRA) es una ampliación de la CCPA que entrará en vigor en 2023. La CPRA prohíbe que las organizaciones conserven los datos de los consumidores más tiempo del necesario y otorga a los consumidores más derechos de exclusión voluntaria de la recopilación de datos, entre otras modificaciones.
FISMA
HIPAA
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) se aplica a las agencias federales, contratistas, proveedores de servicios y vendedores que suministran y operan sistemas informáticos para los grupos mencionados. Según la FISMA, todos los datos deben clasificarse en función de lo dañinos que serían si fueran robados o se pusieran en peligro. La FISMA también exige evaluaciones periódicas de los riesgos para cumplir las normas de seguridad de los datos.
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA, por sus siglas en inglés) contiene directrices estrictas para mantener la privacidad y seguridad de la información sanitaria digital en su almacenamiento y tránsito. También estipula que los pacientes pueden solicitar acceso a sus datos sanitarios en cualquier momento, y que es responsabilidad del proveedor confirmar la seguridad de esos datos mientras se transfieren.
Normas comunes de seguridad de los datos
Las normas de seguridad de datos son directrices voluntarias que le ayudarán a mejorar sus políticas, prácticas y controles de seguridad. Dos de las principales normas de seguridad de datos son:
Marco de ciberseguridad del NIST
Serie ISO/IEC 27000
El Instituto Nacional de Estándares y Tecnología (NIST) creó un marco de ciberseguridad para ayudar a las organizaciones a proteger sus datos de violaciones y ataques. Se trata de directrices voluntarias diseñadas para ayudar en la creación y aplicación de medidas de seguridad de los datos.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) publicaron conjuntamente la serie 27000 de normas de seguridad de datos. Estas mejores prácticas voluntarias tienen un amplio alcance, se aplican a cualquier organización y cubren muchos aspectos diferentes de la seguridad y la privacidad.
Cómo garantizar el cumplimiento de las normas y reglamentos de seguridad de datos
Las normas y reglamentos de seguridad de datos mencionados proporcionan orientación específica para que sus sistemas, aplicaciones, red y prácticas cumplan la normativa. Estas buenas prácticas facilitarán la consecución y el mantenimiento de la conformidad a largo plazo.
Identifique y clasifique todos los datos
Es necesario saber en todo momento qué normas y reglamentos de seguridad de datos se aplican a qué datos y dónde se encuentran esos datos. Las herramientas de descubrimiento automático de datos permiten localizar, etiquetar y clasificar los datos regulados de forma rápida y continua. A continuación, puede verificar que todos los datos regulados están debidamente protegidos de acuerdo con las normas aplicables. También puede responder más rápidamente a las solicitudes de datos de sus clientes.
Realice pruebas periódicas de conformidad
Una prueba de conformidad es esencialmente una auditoría práctica que evalúa la privacidad y seguridad de sus datos para ver si cumple con las leyes y reglamentos. Realizar pruebas de cumplimiento periódicas le ayuda a identificar cualquier dato, sistema o práctica nuevos que hayan afectado a su estado de cumplimiento. Un programa automático de pruebas de conformidad también supervisa continuamente sus datos y sistemas y le avisa si algo no cumple la normativa. Este proceso le permite solucionar el problema inmediatamente y evitar que los sistemas sigan incumpliendo la normativa.
Siga la metodología de seguridad de confianza cero
Las violaciones de la seguridad son un riesgo, independientemente del grado de cumplimiento de las normas y recomendaciones de seguridad de los datos. La metodología de seguridad de confianza cero limita la cantidad de datos a los que se accede y que se filtran cuando se produce una violación. El enfoque de confianza cero restringe los privilegios de las cuentas, de modo que una sola cuenta está limitada en cuanto a la cantidad y el tipo de datos a los que puede acceder. La identidad de la cuenta y su fiabilidad también se evalúan dinámicamente utilizando información contextual (como la hora del día, la ubicación de inicio de sesión, el comportamiento, etc.) y la autenticación multifactor (MFA).
Estas medidas restringirán el movimiento lateral de cuentas comprometidas en su red, dando a los hackers un acceso limitado a datos sensibles y regulados. La confianza cero facilita el cumplimiento de la normativa sobre seguridad de datos y, de hecho, es ahora un requisito para las agencias y proveedores del Gobierno Federal de Estados Unidos.
Establezca una cultura de cumplimiento y seguridad
Para que un programa de cumplimiento de la normativa sobre datos tenga éxito, toda la organización debe responsabilizarse de la seguridad y la privacidad de los datos confidenciales. Cualquiera que acceda a datos regulados o los procese necesita formación sobre riesgos comunes de ciberseguridad como phishing, malware y contraseñas débiles. También es importante que todos comprendan la normativa aplicable y los requisitos que deben cumplir para mantener la conformidad.
También es crucial establecer una cultura que recompense la honestidad sin castigar los errores inocentes. Si un empleado cae en una estafa de phishing o instala un virus involuntariamente, debe animarle a alertar a la dirección lo antes posible. Esta disposición le garantizará poder actuar de inmediato y limitar o prevenir los daños.