Por Eric Schmitt, Director General de Seguridad de la Información, y Brenda G. Corey, Vicepresidenta Senior de Cumplimiento y Reglamentación.
En un mundo cada vez más preocupado por la privacidad y la protección, las empresas deben equilibrar su conciencia del riesgo con el cumplimiento de la normativa, que cambia rápidamente.
Desde el punto de vista de la protección de datos, en los últimos 24 meses se ha hecho mayor hincapié en garantizar que los datos se conserven solo durante el periodo en que sean necesarios, o según lo exija la ley. Con las leyes de transparencia y derechos de datos ya activas en dos estados de EE.UU.(California CPRA, Virginia) y que entrarán en vigor en otros tres estados de EE.UU. durante 2023(Colorado, Connecticut, Utah), ahora es el momento para que las empresas evalúen su infraestructura, aíslen las áreas de posible explotación por parte de malos actores y eduquen a los empleados sobre las mejores prácticas para proteger los datos sensibles.
Conservación de documentos
Un área de gran interés es el pleno cumplimiento de un calendario de conservación de registros. El calendario de conservación de registros es vital para garantizar que estamos conservando los datos sólo durante el periodo necesario, reduciendo el riesgo al disminuir los datos almacenados, y para cumplir la legislación emergente. Empresas de todo el mundo se encuentran hoy en este camino y están revalidando sus políticas existentes para garantizar el cumplimiento. Es importante garantizar el cumplimiento de las obligaciones de conservación de registros para múltiples partes interesadas -legisladores, clientes y aseguradoras- y tanto en jurisdicciones específicas como a nivel global.
Ciberresiliencia
En el lado tecnológico de la empresa, es importante que los equipos de ciberseguridad, copias de seguridad y recuperación ante desastres se unan y ofrezcan un programa más unificado bajo el lema de "ciberresiliencia". Este nivel de asociación ayuda a garantizar que los planes de continuidad, incluidos los de negocio y tecnología, tengan en cuenta cómo aplicar las protecciones en caso de ciberamenaza, lo que permite a una organización responder rápidamente a las amenazas emergentes. Las empresas deberían asegurarse de que su programa de continuidad incluye cuestiones relacionadas con la cibernética.
Caza de amenazas
Armados con la misión de "romperse a sí mismos antes de que alguien más lo haga", los equipos de ciberseguridad buscan atacar los propios entornos cibernéticos de una organización de la misma manera que lo haría un mal actor - un proceso llamado caza de amenazas. Esto proporciona visibilidad no sólo para detectar los puntos críticos en los que pueden producirse ataques, sino también para crear una respuesta más rápida que permita proteger los datos de respaldo y garantizar que no todo se pierda en caso de amenaza. La caza de amenazas debe complementar un sólido programa de pruebas de vulnerabilidad y penetración, no sustituirlo. La caza de amenazas tiene dos grandes beneficios: sus defensores aprenden a identificar los ataques a medida que trabajan con los cazadores de amenazas, y la empresa puede ayudar a identificar las áreas que pueden necesitar la aplicación de controles adicionales.
Establecer una línea de defensa
Hay que saber lo que se tiene antes de poder protegerlo. Mediante el mapeo de datos de todas las líneas de negocio y los tipos de datos que fluyen a través de ellas -incluyendo qué proveedores comparten esa información- se puede obtener una imagen clara de cómo y dónde están protegidos los datos. El uso de los "ejercicios de la joya de la corona" de MITRE permite poner de relieve las vulnerabilidades en torno a los datos que hay que proteger, de modo que las defensas puedan estratificarse en consecuencia.
La educación de los empleados es otro nivel de los esfuerzos óptimos de privacidad y protección de datos. Cuando se trata de riesgos de ciberseguridad, su personal es su primera y última línea de defensa. La cuestión de cómo educar mejor a los empleados para que identifiquen positivamente las amenazas entrantes, como los correos electrónicos de phishing, y otras actividades maliciosas -y cómo reforzar positivamente este comportamiento- debe ser siempre prioritaria. Los ejercicios de formación sobre correos electrónicos de phishing deben realizarse con regularidad para toda la organización. Los colegas de los equipos que manejan constantemente datos confidenciales pueden necesitar evaluaciones más frecuentes para la prevención de la violación de datos.
En el sector de las reclamaciones, los responsables de privacidad trabajan para garantizar que las solicitudes de derechos de datos se atienden de forma rápida y eficaz para los reclamantes individuales. En armonía con las leyes de privacidad, la inteligencia artificial puede aprovecharse para ofrecer mejores servicios a las personas, como en el caso de las revisiones automatizadas de reclamaciones.
Privacidad desde el diseño
La privacidad y la seguridad de los datos pueden marcar la diferencia para una empresa y sus clientes cuando se integran en la estrategia de inversión y operaciones. A medida que una empresa desarrolla sus nuevos procesos y programas, incluido el flujo de información dentro del sistema, es esencial que los equipos que trabajan en la fase inicial sepan cómo abordar la privacidad desde el diseño. Los organismos reguladores están presionando cada vez más para reducir la huella de los datos; las empresas deben actuar con la debida diligencia, planteándose preguntas en profundidad sobre sus programas de seguridad de datos y sopesando su inversión en inteligencia sobre amenazas.