Octubre 17, 2018

GUIA PASO A PASO PARA DEFINIR POLITICAS PARA EL CUMPLIMIENTO DE LA NUBE

Forcepoint

Por Forcepoint en November 09, 2018

EL GDPR exige el descubrimiento y el inventario de datos, incluso cuando los datos se mueven en la nube. ¿Cómo localizará los datos personales dentro de un ecosistema de aplicaciones en la nube en constante expansión? Le damos tres claves.

Primero lo primero, el panorama en recientes años y para el futuro anticipa que la tecnología en la nube, es cada vez más, la forma para trabajar, pero también ha expuesto nuevos problemas y una brecha en la cadena de responsabilidad, como le mostramos en este gráfico. Siga leyendo, para conocer tres pasos que le permitirá tener una mejor política de información en la nube.

 

Donde-estan-tus-datos-v2

Las promesas de establecer una forma de trabajo en la nube incluyen una mejor colaboración, un acceso más fácil fuera del campus a la información y una menor complejidad y costo de TI. 

 

Pero hay problemas adicionales. Cuando los datos de una empresa residen en la nube, ceden cierta propiedad y control de esos datos. Además, la falta de propiedad y control no cambia la misión de su equipo de seguridad: proteger todos los activos de información de la compañía, sin importar dónde residan, y garantizar el cumplimiento.

 

1. Cumplimiento en la nube

El cumplimiento puede significar muchas cosas diferentes, dependiendo de la función de su negocio o qué tipo de regulaciones internas o externas afectan directamente su trabajo. Los requisitos de cumplimiento externo, aquellos dictados por gobiernos, organizaciones e industrias, se centran principalmente en la privacidad. Dos ejemplos incluyen:

  • Ley de responsabilidad y portabilidad del seguro de salud (HIPAA): rige el manejo de información confidencial del paciente.
  • Estándar PCI DSS de la industria de tarjetas de pago: rige el almacenamiento, el procesamiento y el manejo de la información de las tarjetas de crédito.

El cumplimiento interno se enfoca en proteger datos valiosos de la organización como propiedad intelectual, planes estratégicos y registros comerciales.

Conozca más, mire nuestro video: todo lo que debes saber sobre seguridad en aplicaciones en la nube. 

 

2. Desarrollo de políticas de cumplimiento en la nube

Los programas de cumplimiento están arraigados en la gestión de las interacciones de las personas, los datos y la PI crítica a la vez que se adhieren a los reglamentos y leyes federales y estatales. Un componente cada vez más crítico del panorama empresarial, los programas de cumplimiento también son difíciles de establecer y mantener.

 

Las políticas forman la piedra angular del programa de cumplimiento y seguridad de una organización, pero desarrollar buenas políticas lleva tiempo. El primer paso para desarrollar políticas de cumplimiento es crear clasificaciones de datos, usuarios y aplicaciones para definir interacciones. 

Antes de poder desarrollar las clasificaciones, debe determinar el valor relativo de cada activo para la organización. 

 

Clasificaciones de datos:

¿Qué clasificaciones de datos permitirán que se creen, manipulen y almacenen en la nube? ¿Quién puede acceder a los datos en cada clasificación, y bajo qué circunstancias?

  1. Establecer clasificaciones de datos que se correspondan con el impacto organizacional.
  2. Establezca tipos de datos que se asignen a la utilización funcional, como informes de ventas y artefactos de marketing.
  3. Establezca una matriz de tipos de clasificación y determine la elegibilidad de cada elemento para su uso en un entorno de nube, junto con las garantías necesarias que informen la elegibilidad, por ejemplo, la ausencia de intercambio de archivos públicos.
  4. Determine los usuarios autorizados de los datos y las acciones permitidas, como las restricciones de acceso, eliminación y almacenamiento por hora, fecha, geografía y dispositivo.
  5. Determine la respuesta y la remediación de las acciones inconsistentes con las políticas creadas.
  6. Si el robo, destrucción o corrupción de datos en una clasificación representa un riesgo para mantener el cumplimiento, establezca salvaguardas para evaluar y hacer una determinación final del riesgo / recompensa de esa clasificación de datos que reside en la nube.

Clasificaciones de usuarios:¿Qué acciones específicas puede realizar un usuario, por ejemplo crear, compartir y modificar, con ciertos tipos de datos y en qué circunstancias?

  1. Establezca clasificaciones de grupos y usuarios que se asignen al uso autorizado de datos.
  2. Establezca parámetros de uso aceptables para cada usuario y elemento de matriz de datos teniendo en cuenta la acción (por ejemplo, crear y eliminar), geografía, cronología y dispositivo (incluidas las características del dispositivo).
  3. Determine las excepciones de políticas basadas en las necesidades de la organización, tales como viajes de negocios, roles específicos e individuos.
  4. Identifique el comportamiento del usuario que puede indicar un comportamiento de riesgo involuntario o una actividad potencialmente maliciosa y determine los desencadenantes y respuestas que corresponden a los niveles de riesgo utilizando una rúbrica de "Si-Entonces".

Clasificaciones de aplicaciones:¿Qué aplicaciones en la nube permitirá y cómo aplicará las políticas de datos a su uso?

  1. Identifique claramente lo que constituye una aplicación de usuario, en contraste con un sitio web pasivo.
  2. Establezca métricas de riesgo de aplicación aceptables basadas en requisitos reglamentarios, certificaciones de la industria y puntos de referencia internos. Preste atención a las capacidades de manipulación de datos como compartir, auditar y cambiar el control sobre acciones como la eliminación.
  3. Establezca parámetros de uso aceptables para cada elemento de la matriz de aplicación del usuario que considere el tipo de aplicación, geografía, cronología, dispositivo y características del dispositivo.
  4. Establezca el uso simultáneo aceptable de aplicaciones con consideraciones adicionales para cuentas corporativas y personales.
  5. Establezca políticas de aprobación de aplicaciones para nuevas aplicaciones, incluidas las clases de aplicaciones que NO requerirán aprobación.
  6. Determine la respuesta y la solución a las acciones que no concuerdan con las políticas creadas.

Conseguir estas políticas desde el principio requiere tiempo y recursos, pero es una inversión necesaria. Sin ellos, corre el riesgo de exponer su información crítica y enfrentar las consecuencias negativas de fallar en una auditoría de cumplimiento.

3. La importancia de la detección y respuesta oportunas

Una tendencia preocupante es el desafío que las organizaciones experimentan al descubrir una brecha o un incidente. Con el compromiso y la exfiltración de datos que se realiza en tan solo unos minutos, el principal preocupación es que el descubrimiento lleva meses, está claro que los atacantes tienen la ventaja. 

 

Por eso es tan importante reducir la duración de la permanencia de un atacante dentro de su organización. Agregar automatización a su respuesta y políticas de cumplimiento podría significar la diferencia entre pérdida de productividad, ingresos y datos o una violación de datos catastrófica.

 

Con la implementación de GDPR (25 de mayo de 2018), las empresas tienen solo 72 horas para informar a su autoridad de supervisión de una violación de datos una vez que estén al tanto de una. Espero el día en que las empresas reduzcan el tiempo de descubrimiento a días o incluso minutos.

Lea ya: La privacidad de datos genera tensión, pero sí o sí el GDPR debe aplicarse.

Comience por identificar los datos importantes, mapear el flujo de datos dentro y fuera de la organización y estar preparado para responder a los casi Incidente inevitable o violación de datos. Considere las herramientas de protección contra pérdida de datos para lograr el cumplimiento y proteger su propiedad intelectual.

 

Forcepoint

Forcepoint-authored blog posts are based on discussions with customers and additional research by our content teams.

Leer más artículos de Forcepoint

Acerca de Forcepoint

Forcepoint es la compañía líder en ciberseguridad de protección de datos y usuarios, encargada de proteger a las organizaciones a la vez que impulsa la transformación digital y el crecimiento. Nuestras soluciones se adaptan en tiempo real a la manera en que las personas interactúan con los datos, y proporcionan un acceso seguro a la vez que permiten que los empleados generen valor.