¿Dónde están los datos de su organización? Desde centros de datos globales hasta PC y aplicaciones móviles, los datos están esparcidos por todas partes. Entonces, ¿cómo lo proteges todo?
No se puede cifrar todo, ¿verdad? Es demasiado caro y requiere mucho tiempo. Incluso las regulaciones más estrictas no exigen ese nivel de protección de datos. Por ejemplo, GDPR se enfoca principalmente en la información de identificación personal (PII). Aún así, también desea proteger su propiedad intelectual de una violación de datos.
¿Cómo pueden las empresas determinar qué datos deben protegerse? ¿En qué se basa una estrategia de seguridad de datos? ¿Y cuáles son algunas de las mejores prácticas para ayudar a evitar una violación de datos de la empresa? Vamos a averiguarlo con la ayuda que nos facilitó un perito de informatica forense experto en el tema.
La protección de datos comienza con el descubrimiento de datos
No puedes proteger algo si no sabes dónde vive. Los datos se pueden encontrar almacenados en centros de datos, archivos compartidos, computadoras portátiles, computadoras de escritorio, dispositivos móviles, almacenamiento en la nube e infraestructura informática de borde. Pero hay que localizar los datos para protegerlos.
Los equipos de TI, seguridad, legal y privacidad pueden participar en el descubrimiento de datos. A medida que los usuarios crean y agregan datos en toda su empresa, los datos no deben permanecer ocultos en silos. El objetivo es ubicar e indexar los datos existentes y desarrollar un sistema que muestre continuamente los datos.
Antes de analizar las soluciones de descubrimiento de datos, examinemos el siguiente paso del proceso.
Clasificación de datos
Cuando clasifica, etiqueta o etiqueta correctamente sus datos, es más fácil decidir sobre las prioridades de protección de datos. La clasificación ayuda a poner a todos en la misma página sobre la seguridad de la base de datos y el gobierno de datos.
En el contexto de la seguridad de la información, la clasificación de datos debe basarse en el nivel de valor y riesgo que representan los datos. Pregúntese: ¿cuál sería el impacto en su organización si los datos fueran divulgados, alterados o destruidos?
Algunas organizaciones utilizan estas categorías para clasificar los datos:
- Restringido: la violación de los datos restringidos daría lugar a un riesgo o daño significativo a la organización/afiliación. Esto podría estar protegido por normas de privacidad y/o acuerdos de confidencialidad. Los datos restringidos merecen el más alto nivel de seguridad.
- Privado: la exposición de datos privados representa un nivel moderado de riesgo para su organización. De forma predeterminada, todos los datos no clasificados como restringidos o públicos deben clasificarse como datos privados. Debe aplicarse un nivel razonable de seguridad a los datos privados.
- Público: la violación de datos públicos lo expone a poco o ningún riesgo. Los ejemplos incluyen comunicados de prensa, artículos de blog, videos de marketing y otro contenido ampliamente disponible. Para los datos públicos, puede ser necesario cierto nivel de control para evitar la modificación o destrucción no autorizada de los datos.
La clasificación de datos también puede incluir tipos de datos, como archivos individuales, correos electrónicos y campos de bases de datos. La clasificación precisa (cuáles son los datos y el nivel de sensibilidad) evoluciona con el tiempo. Es por eso que un enfoque sistemático del ciclo de vida de los datos funciona mejor para mantener la seguridad actualizada.
Si parece que el descubrimiento y la clasificación de datos son tareas del tamaño de una montaña, es porque lo son. Por esta razón, existen herramientas basadas en análisis de red, inteligencia artificial y aprendizaje automático para agilizar el proceso. Estas herramientas brindan visibilidad, contexto e información para encontrar y catalogar continuamente datos confidenciales y protegidos. La clasificación adecuada de los datos también puede ayudar a formar su plan de respuesta a la violación de datos.
Determinar información contextual de datos
Una vez que sus datos han sido clasificados, factores como el flujo de datos y el uso de datos determinan aún más los métodos de protección específicos. Por ejemplo, es posible que haya identificado la ubicación de los datos restringidos, pero ¿cómo sabe quién tiene acceso a ellos? Además, ¿cómo se gestiona el acceso? En este nivel, la visibilidad de los datos, las políticas y el monitoreo son fundamentales para ayudar a descubrir vulnerabilidades y riesgos.
La ubicación de los datos, como en las instalaciones o en la nube, también influirá en la elección de las medidas de seguridad. Finalmente, su enfoque para el cumplimiento de los mandatos de privacidad variará según el tipo de datos y su caso de uso.
Así que no, no tienes que cifrar todo. Pero desea identificar el contexto cuando el cifrado es necesario, como para datos confidenciales que atraviesan redes internas o externas.
Aplicar Medidas de Seguridad Inteligentes
Si bien no podemos abordar el espectro completo de seguridad de datos en este artículo, podemos destacar algunos de los métodos más efectivos. Si bien los procesos anteriores siguen siendo críticos, las siguientes tácticas ayudan a lograr una seguridad sólida para cualquier organización. Incluso pueden llenar los vacíos hasta que el descubrimiento y la clasificación de datos alcancen la madurez.
Gestión de acceso a la identidad (IAM)
IAM establece una evaluación detallada y matizada de cualquiera que intente acceder a sus redes. No importa si son empleados, socios, clientes o actores de amenazas.
Con la asistencia de IA, IAM sigue las reglas de acceso preestablecidas y, al mismo tiempo, proporciona información en tiempo real sobre las tendencias de acceso. IAM permite una autenticación precisa y contextual que puede dar cuenta de los patrones de usuario, dispositivo, ubicación y comportamiento. Por ejemplo, en lugar de que los empleados acumulen privilegios de acceso, se les puede identificar y otorgar solo el acceso que necesitan actualmente. Con IAM implementado, incluso los no humanos (IoT) deben pasar la autenticación por API y la seguridad de la aplicación.
Confianza cero
El objetivo de la seguridad de confianza cero es crear una capa segura alrededor de cada usuario, dispositivo y conexión en todo momento. Este consiste en la unificación e integración de herramientas de seguridad para proteger sus activos más valiosos y gestionar proactivamente las amenazas.
La confianza cero parte de la premisa de que cada usuario se considera una amenaza y requiere una validación continua. Un aspecto clave de la confianza cero es el principio de privilegio mínimo. Esto significa que los usuarios obtienen acceso a la menor cantidad de recursos de TI que necesitan para completar sus tareas.
Eliminación de datos
Los datos obsoletos que se encuentran en sus servidores no son solo un problema de almacenamiento. La retención de datos antiguos representa un riesgo de seguridad continuo. Por lo tanto, es aconsejable desarrollar un plan de eliminación de datos defensivo.
Si los datos confidenciales ya no son necesarios por intereses comerciales reales, mandatos de cumplimiento u obligaciones de conservación de datos (investigaciones, litigios, etc.), entonces deben eliminarse. Esto puede seguir un proceso de almacenamiento de datos fuera de línea con el eventual desmantelamiento completo del hardware y su eliminación.
Ofuscar datos
La ofuscación de datos implica el uso de técnicas de ofuscación y abstracción de datos como el cifrado, la tokenización y el
enmascaramiento. El enmascaramiento de datos le permite transformar elementos de datos complejos, como números de tarjetas de crédito, direcciones de correo electrónico y otros identificadores, manteniendo su significado contextual. Los datos ofuscados son difíciles de descifrar o recuperar y, por lo tanto, no tienen valor en los mercados de la Dark Web.
Seguridad de grandes datos
Incluso los grandes datos pueden protegerse con el descubrimiento y la clasificación de datos automatizados. Además, el monitoreo de la actividad de datos y el aprendizaje automático pueden descubrir actividades inusuales para evitar el costo de una violación de datos. Las herramientas avanzadas de seguridad de big data permiten a los administradores bloquear identificaciones de usuarios sospechosas y cumplir con el cumplimiento basado en plantillas de regulación preconstruidas.