PRIORIDADES EN PROTECCÓN DE DATOS Y PRIVACIDAD
Estrategia de protección de datos: como parte de una estrategia global de protección de datos es crear o actualizar un plan de protección de datos, backup y recuperación ante desastres. Hay muchos aspectos a considerar en un plan de protección de datos fiable, entre ellos el tratamiento de los datos privados de los clientes.
Cifrado de datos: permitir el cifrado de datos en reposo y en tránsito ayuda a evitar el acceso no autorizado a la información personal, algo crítico ante la gran cantidad de datos que salen de los centros corporativos hacia la nube.
Los datos ya no residen sólo en los centros de datos corporativos, ya que la mayoría de las organizaciones tienen una o varias nubes públicas con cargas de trabajo y datos almacenados en ellas. Asegurar, con cifrado, durante toda la vida de los datos ayuda a mitigar a los posibles problemas.
Autenticación multipersonal: proteger los datos de la ingente cantidad de ciberataques que proliferan diariamente requiere emplear otros métodos como la autenticación multipersonal (MPA). Esto requiere múltiples consentimientos de usuarios preaprobados, lo que dificulta los accesos no deseados.
Almacenamiento inmutable: esta fórmula para el almacenamiento de datos garantiza que los datos no puedan modificarse ni eliminarse. Al evitar su manipulación y alteración se mantiene su integridad, algo fundamental en las normativas como RGPD (Reglamento General de Protección de Datos), HIPAA (estándares normativos sobre el uso y divulgación de la información médica) y otras.
Al combinar con MPA, se crean niveles de almacenamiento de datos altamente seguros que se adaptan perfectamente al tratamiento de datos confidenciales y privados.
Soberanía de datos: los departamentos de TI deben tener en cuenta la normativa relativa al almacenamiento de datos privados a la hora de desarrollar una estrategia de protección de datos. Esto incluye la ubicación del almacenamiento de datos y el cumplimiento de las normativas relativas a la soberanía de los mismos. Cualquier lugar en el que puedan residir datos privados, aunque sea de forma temporal, puede tener que estar en una región específica según los requisitos normativos.
Gestión y descubrimiento de datos: Cada vez son mayores los volúmenes de datos que gestionan las organizaciones y más las normativas que deben cumplirse lo que, en ocasiones, puede generar confusión. Esto hace imprescindible que se pongan las medidas necesarias para saber exactamente qué datos tienen, dónde están ubicados y qué posibles riesgos pueden correr.
En consecuencia, podrán priorizar los datos en función de las políticas, prioridades y normativas establecidas para garantizar su mejor protección.
Clasificación de datos: saber qué datos existen y dónde residen es una parte de la solución.
Otro aspecto fundamental en el que deben trabajar las organizaciones es en la clasificación de los datos para darles el tratamiento adecuado. Por ejemplo, diferenciar entre qué datos de los clientes son privados y cuáles críticos contribuirá a mejorar su seguridad.
Retención: es primordial saber qué datos existen y su importancia, pero ¿durante cuánto tiempo siguen siendo relevantes? Ser capaz de asignar una vida útil esperada a los datos puede tener un gran impacto en los resultados de un departamento de TI.
Disponer de sistemas que permitan encontrar, clasificar y establecer automáticamente la retención evitará en gran medida que los datos se dispersen y reducirá el tiempo necesario para recupera los que no se utilizan. Indudablemente, el impacto en los resultados, y la reducción de costes que conllevará, será una consecuencia clave.
Plan de recuperación y respuesta a incidentes: las pruebas del plan de resiliencia, a menudo denominadas “runbook”, son un área de la estrategia de protección de datos que a menudo se pasa por alto. Crear o actualizar un plan obsoleto puede ser una tarea desalentadora.
Asociarse con proveedores de soluciones o empresas estratégicas de protección de datos con experiencia en la creación de un plan puede reducir significativamente el tiempo necesario para ponerse al día.
Evaluación de riesgos: programar evaluaciones de riesgos es una práctica clave para construir una sólida protección de datos.
La ventaja de trabajar con proveedores de protección y privacidad de datos bien establecidos es que están al día de las últimas amenazas a la seguridad y estrategias de mitigación.