Tanto si es Director de Seguridad de la Información como si aspira a convertirse en uno, la protección de los datos comerciales confidenciales será su principal prioridad.
Pero el trabajo no se está volviendo más fácil…
- En 2021, la cantidad de violaciones de datos aumentó un 68 % a 1862, con un costo promedio de USD 4,24 millones cada una
El daño afecta a todos, lo que provoca una disminución del valor de la marca y la confianza del consumidor, una disminución de la confianza de los accionistas, auditorías fallidas y un mayor escrutinio por parte de las agencias reguladoras. Es fácil preocuparse tanto por protegerse contra el próximo ataque de ransomware que pasa por alto los riesgos dentro de su propia organización.
A continuación, le presentamos algunas cosas que debe considerar, tanto al establecer prioridades para usted mismo como al hablar con su junta directiva:
1.Ocúpese de su propia casa: amenazas internas
Los resultados del Work Trend Index más reciente de Microsoft indican que es probable que el 43% de los empleados considere cambiar de trabajo en el próximo año. Este cambio masivo en el estado laboral ha estado acompañado por la “Gran Exfiltración”. Muchos de esos empleados en transición, intencionalmente o no, se irán con datos confidenciales almacenados en dispositivos personales o a los que se accederá a través de una nube de terceros.
Adicionalmente, deberá considerar cómo la tecnología interactúa con los procesos comerciales de su organización. Eso incluye tener políticas implementadas para evitar la filtración de datos; especialmente si trabaja en una industria regulada, como finanzas o atención médica. Comienza preguntando: ¿Quién puede acceder a los datos? ¿Dónde deben residir (o no residir) los datos? ¿Cómo se pueden utilizar los datos? ¿Cómo evitamos compartir en exceso?
La mejor solución para las amenazas internas será:
- Transparente: equilibrar la privacidad del usuario con el riesgo organizacional mediante el uso de una arquitectura de privacidad por diseño.
- Configurable: habilitación de políticas basadas en su industria, ubicación geográfica y grupos comerciales.
- Integrado: manteniendo un flujo de trabajo integrado en todos sus datos, dondequiera que residan.
- Procesable: proporciona información para habilitar las notificaciones de los revisores, las investigaciones de datos y las investigaciones de los usuarios
2.Automatice e integre su estrategia de datos
Debido a que muchas organizaciones se resisten a apostar todo por un solo proveedor, la mayoría de los CISO tienen que lidiar con datos distribuidos en un mosaico de almacenamiento local y en la nube. Aunque torpes, los silos de datos heredados son una realidad.
Una buena solución de gestión de datos debe proporcionar tanto la flexibilidad para que los usuarios clasifiquen manualmente sus documentos, como los administradores de sistemas que aplican el etiquetado automático y clasificadores aptos para el aprendizaje automático.
- Descubrimiento de datos: no es raro descubrir que un empleado, sin saberlo, almacenó el número de seguro social (SSN) de un cliente en un sitio desprotegido o en una nube de terceros.
- Clasificación de datos: busque un etiquetado incorporado unificado que ya esté integrado con aplicaciones y servicios de uso generalizado, lo que permite a los usuarios personalizar aún más los niveles de sensibilidad para sus necesidades específicas.
- Gobierno de datos: desea que los datos de su organización sean detectables, confiables y almacenados en una ubicación donde puedan protegerse fácilmente. Almacenar datos más tiempo del necesario aumenta el riesgo de exposición en una filtración.
3.Haga de la protección de datos un esfuerzo de equipo
Una responsabilidad principal de cualquier CISO es proteger la IP de la organización, como el código fuente del software, los diseños patentados, los trabajos creativos, prácticamente cualquier cosa que le dé a la empresa una ventaja competitiva. Pero con el crecimiento de los grandes datos y los estándares regulatorios cambiantes, también se espera que los CISO protejan los datos de los usuarios, como PII, información de salud personal (PHI) y datos de la industria de tarjetas de pago (PCI). Las leyes de privacidad también están aumentando las restricciones sobre el uso, la retención y la ubicación de los datos de los usuarios, tanto internamente como con proveedores externos.
4.Tip de Bonus: Simplifica
Todos sabemos que los días de los firewalls y la seguridad perimetral no van a volver. Habilitar un enfoque Zero Trust efectivo requiere la capacidad de proteger los datos en un entorno multinube y multiplataforma. La decisión de Microsoft de unificar las capacidades de protección de datos, gobierno y cumplimiento como Microsoft Purview, que reúne la cartera anterior de Microsoft Azure Purview y Microsoft 365 Compliance bajo una sola marca, refleja nuestra creencia de que las organizaciones necesitan un enfoque más simple para la protección de datos.
Para obtener más información sobre las soluciones de seguridad de Microsoft, contáctenos: expertos@grupobusiness.it
¡Gustosamente atenderemos todas sus dudas para ayudarlo a proteger su organización!
