A medida que avanza la tecnología y se comparte más información personal online, las personas y las organizaciones deben tomar medidas para salvaguardar sus datos.
Gartner prevé que «en 2023, el 65% de la población mundial tendrá sus datos personales cubiertos por diversas normativas de privacidad, y las empresas necesitan soluciones flexibles que puedan adaptarse a la multitud de legislaciones». Navegar por este complejo entorno puede suponer un reto tanto para los particulares como para las empresas.
Para ayudar a abordar esa complejidad, Commvault explica los 10 temas principales que hay que tener en cuenta a la hora de gestionar la privacidad y la protección de datos.
- Estrategia de protección de datos. Las organizaciones deben empezar por crear o actualizar un plan de protección de datos, backup y recuperación de desastres como parte de una estrategia global de protección de datos. Hay muchos aspectos a considerar en un plan de protección de datos fiable, entre ellos el tratamiento de los datos privados de los clientes.
- Cifrado. El cifrado es una característica crucial de la protección y la privacidad de los datos. Permitir el cifrado de datos en reposo y en tránsito ayuda a evitar el acceso no autorizado a la información personal. Esto es especialmente importante para las organizaciones que manejan grandes cantidades de datos privados, como los hospitales y las instituciones financieras. Los datos ya no residen sólo en los centros de datos corporativos, ya que la mayoría de las organizaciones tienen una o varias nubes públicas con cargas de trabajo y datos almacenados en ellas. Asegurar, con cifrado, durante toda la vida de los datos ayuda a mitigar a los posibles problemas.
- Autenticación multipersonal. Más allá de proteger los datos con cifrado, las organizaciones deben salvaguardar sus sistemas de ataques maliciosos. Aprovechar la autenticación multipersonal (MPA) para sus sistemas de protección de datos garantiza que las tareas críticas requieran múltiples consentimientos de usuarios preaprobados. A menudo pasada por alto, ésta es una de las formas más sencillas de evitar la exfiltración o el borrado de datos.
- Almacenamiento inmutable. El almacenamiento inmutable permite que los datos, privados o no, se escriban y no puedan modificarse ni borrarse. Los datos que no pueden ser manipulados o alterados garantizan el mantenimiento de la integridad de los datos. Los requisitos de almacenamiento inmutable se están convirtiendo rápidamente en una parte estándar de las normativas de gobernanza de datos como GDPR, HIPAA y otras. Cuando se combina con MPA, puede crear niveles de almacenamiento de datos altamente seguros que se adaptan perfectamente al tratamiento de datos confidenciales y privados.
- Soberanía de datos. Las organizaciones deben tener en cuenta la normativa relativa al almacenamiento de datos privados a la hora de desarrollar una estrategia de protección de datos. Esto incluye la ubicación del almacenamiento de datos y el cumplimiento de las normativas relativas a la soberanía de los mismos. Por ejemplo, una carga de trabajo basada en la nube en Europa o que contenga datos de ciudadanos de la UE debe cumplir la normativa de la UE. Cualquier lugar en el que puedan residir datos privados, aunque sea de forma temporal, puede tener que estar en una región específica según los requisitos normativos.
- Gestión y descubrimiento de datos. Una gran parte de de los CISO admite que no sabe dónde están sus datos o cómo están protegidos. A medida que la cantidad de datos privados sigue creciendo, el número de normativas se expande exponencialmente, lo que genera confusión. Como resultado, las organizaciones necesitan entender qué datos tienen, dónde están y qué está en riesgo. Ser capaz de priorizar los datos en función de las políticas, prioridades y normativas aplicables en una organización es fundamental para proteger los datos. No se puede proteger lo que no se conoce.
- Clasificación de los datos. Saber qué datos existen y dónde residen es sólo una parte de la solución. Las organizaciones deben considerar qué datos son datos privados de clientes, críticos para el negocio, etc. Proteger sólo los datos on-prem puede pasar por alto algunos datos críticos que residen en una solución CRM basada en SaaS, por ejemplo.
- Retención. Es primordial saber qué datos existen y su importancia, pero ¿durante cuánto tiempo siguen siendo relevantes? Se trata de una pregunta difícil de responder para la mayoría de las organizaciones. Ser capaz de asignar una vida útil esperada a los datos puede tener un gran impacto en los resultados de una organización. Contar con sistemas para encontrar, clasificar y establecer automáticamente la retención reducirá la probabilidad de que los datos se dispersen, reducirá el tiempo necesario para recuperar los datos no utilizados y reducirá los costes.
- Pruebas del plan de recuperación y respuesta a incidentes. Las pruebas del plan de resiliencia, a menudo denominadas «runbook», son un área de la estrategia de protección de datos que a menudo se pasa por alto. Crear o actualizar un plan obsoleto puede ser una tarea desalentadora. Asociarse con proveedores de soluciones o empresas estratégicas de protección de datos con experiencia en la creación de un plan puede reducir significativamente el tiempo necesario para ponerse al día. Cuando se produce un verdadero evento de DR o un ataque de ransomware, los runbooks son el activo clave.
- Evaluación de riesgos. Las evaluaciones programadas pueden ayudar a construir la memoria muscular para una sólida protección de datos y una mentalidad de privacidad de datos. La ventaja de trabajar con proveedores de protección y privacidad de datos bien establecidos es que están al día de las últimas amenazas a la seguridad y estrategias de mitigación.
Más información
- 7 claves para cumplir con la normativa de protección de datos
- 5 claves para que las empresas mejoren su protección de datos
- Cómo recoger información de los usuarios respetando las nuevas leyes de protección de datos
- El aumento del phishing empresarial obliga a las empresas a replantearse sus políticas de protección de datos