Desde el principio de los tiempos, o al menos desde la era de la información, gestionar y proteger los datos siempre ha sido un reto. Ahora más que nunca, con el aumento explosivo del volumen de datos y la variación de los tipos de almacenamiento, el desafío es aún mayor. Las organizaciones almacenan información confidencial en diferentes formatos, en diferentes almacenes y de distintas maneras. Sin poder identificar, mapear y... catalogar Esa información personal y confidencial se encuentra en todos los almacenes de datos de una organización, por lo que es imposible tomar medidas para proteger esos datos, que son las joyas de la corona de una organización.
El tipo de datos más común objeto de las infracciones son los datos personales: solo en los primeros seis meses de 2019, hubo Más de 4.100 millones de registros comprometidos por violaciones de datos – y eso es sólo contando públicamente Infracciones reportadas. Ese recuento ni siquiera incluye las filtraciones de datos. El almacenamiento en la nube, como... Amazon S3 Los archivos sobreexpuestos y los archivos con información confidencial son notoriamente vulnerables a ser comprometidos: ya sea una universidad pública con números de seguridad social de estudiantes en un archivo de texto, o un comité nacional con registros de votantes e información personal en almacenamiento abierto.
La mayoría de los datos confidenciales residen en datos no estructurados – documentos de texto, hojas de cálculo de Excel, correos electrónicos, archivos PDF y archivos de imagen que almacenan volúmenes incalculables de datos personales, de clientes y comerciales.
Mientras tanto, están surgiendo regulaciones de privacidad y protección de datos como la Ley de Privacidad del Consumidor de California (CCPA) están introduciendo sanciones adicionales y posible responsabilidad legal por violaciones de datos, al tiempo que amplían la definición de qué datos necesitan protegerse.
Las organizaciones de todos los tamaños (y en todas las industrias) necesitan una sólida política de seguridad centrada en los datos: comience con estos seis pasos clave para proteger los datos confidenciales y personales.
Paso 1: Conozca sus datos
Para proteger la totalidad de los datos de su organización, necesita conocer sus datos: dónde están, de quién son y qué datos son vulnerables.
Las soluciones tradicionales de seguridad de datos a menudo están diseñadas específicamente para un tipo u otro de almacenamiento de datos: puede resultar difícil administrar, monitorear y proteger los datos en un entorno híbrido.
Las herramientas puntuales están aisladas y rara vez ofrecen una vista completa de los datos de una organización: pueden centrarse en datos no estructurados en entornos locales específicos, tipos específicos de datos no estructurados almacenados en la nube o centrarse exclusivamente en datos no estructurados, lo que deja a las organizaciones incapaces de desarrollar una imagen completa de los datos que combine conocimiento y mapeo de datos no estructurados, semiestructurados y estructurados para identidades individuales, tipos de clasificación o análisis basados en entidades.
Las soluciones de privacidad y seguridad de datos deben ser compatibles con entornos locales, en la nube e híbridos. Las organizaciones necesitan poder descubrir e identificar automáticamente datos confidenciales en toda la empresa, independientemente de dónde se almacenen.
Las técnicas de aprendizaje automático, como el análisis de clústeres, son una forma escalable y receptiva de obtener información sobre datos no estructurados, analizando e inventariando automáticamente grandes volúmenes de datos no estructurados para identificar datos confidenciales y regulados.
Descubrimiento inteligente de datos Es el primer paso para proteger los datos empresariales: solo se puede proteger lo que se puede ver.
Paso 2: Clasifique sus datos
Clasifique sus datos Para impulsar eficazmente las políticas y su aplicación. Los datos no estructurados, semiestructurados y estructurados deben clasificarse para una mejor gestión, protección y procesamiento de datos.
Las definiciones de lo que constituye información personal y sensible (o diferentes tipos de información regulada) se están ampliando: ya no se basan exclusivamente en expresiones regulares, sino que más a menudo (como vemos con la CCPA) se basan en la identidad.
Esto significa ser capaz de Identificar y clasificar automáticamente todo tipo de información confidencial basado en el contenido y la estructura de los datos –información personal (IP), información personalmente identificable (PII) y datos sensibles– sin limitarse a un clasificador específico.
Las organizaciones deberían poder clasificar automáticamente los datos por persona, tipo, categoría, atributo y más: desde nombres hasta actividades políticas y datos geográficos; desde datos regulados como registros médicos hasta estados financieros y documentos legales; desde atributos de seguridad como contraseñas hasta claves de producto y claves privadas cifradas.
Una vez que pueda identificar y descubrir todos sus datos, puede aplicar etiquetas, etiquetar tipos de datos y enriquecerlos con contexto adicional para automatizar mejor la gestión y la seguridad de los datos.
Paso 3: Correlacione sus datos
Los datos sin contexto son peligrosos: es esencial establecer y mapear relaciones entre los datos no solo para entender qué datos tienes, sino también para poder implementar políticas para protegerlos. La correlación crea contexto alrededor de conjuntos de datos y relaciones. para que las organizaciones puedan comprender mejor qué datos confidenciales tienen, dónde se encuentran y cómo protegerlos.
Al liderar con correlación, las organizaciones pueden descubrir datos oscuros que de otro modo serían vulnerables a ser comprometidos, y vincular esos datos oscuros a identidades específicas, entidades u otros conjuntos de datos confidenciales.
La aplicación del aprendizaje automático y el reconocimiento de entidades neuronales (NER) permite obtener una mayor comprensión de la inteligencia de datos: las soluciones de protección de datos deben poder interpretar los datos automáticamente para crear conocimientos profundos sobre ellos.
Paso 4: Identificar y gestionar el riesgo
Un factor clave en cualquier enfoque de seguridad es identificar, gestionar y reducir el riesgo. Los CISO y los equipos de seguridad se enfrentan ahora a un mayor escrutinio para minimizar el riesgo y proteger los datos confidenciales, empezando por la visibilidad y cobertura de datos en riesgo.
Las organizaciones necesitan alinearse con la privacidad para minimizar el riesgo, aprovechando la inteligencia y los conocimientos avanzados de datos. Establezca políticas sobre el movimiento de datos y el cumplimiento normativo para supervisar la transferencia, el uso indebido y las infracciones de políticas, con el fin de aplicar mejor las políticas de seguridad y las mejores prácticas.
Perspectivas sobre inteligencia de acceso Proporcionar mayor visibilidad de los datos en riesgo: los grupos de acceso global representan una de las mayores vulnerabilidades de los datos no estructurados. Al identificar datos sobreexpuestos, las organizaciones pueden identificar fácilmente las fuentes de datos de alto riesgo y los registros particularmente vulnerables, con información priorizada sobre dónde reducir el riesgo.
El modelado de riesgos puede ayudar a las organizaciones a comprender y comparar el riesgo de los datos en función de la sensibilidad de los datos, la residencia, la seguridad de los datos y el acceso a las aplicaciones, y debe personalizarse según la industria específica de la organización, el tipo de datos y el perfil de la empresa.
Para gestionar y reducir adecuadamente el riesgo, las organizaciones necesitan adoptar un enfoque centrado en la privacidad para la protección de datos, siguiendo los principios de privacidad por diseño, obteniendo una visibilidad de 360° de los datos en riesgo y administrando un inventario unificado de datos confidenciales en toda la empresa.
Paso 5: Respuesta a infracciones e investigaciones
Las violaciones de datos ya no son una cuestión de si ocurrirán, sino de cuándo.
El factor más importante es la capacidad de las organizaciones para responder a las infracciones: cómo mitigar las consecuencias, determinar el impacto, notificar a los afectados y simplificar las investigaciones.
Las organizaciones pueden minimizar el impacto de una violación al poder determinar con rapidez y precisión qué datos (y de quiénes) se vieron comprometidos.
Paso 6: Aproveche al máximo las inversiones en seguridad
Cuando comienza con descubrimiento inteligente, clasificación de última generación y visibilidad total de sus datos más confidenciales, puede aprovechar más sus inversiones en seguridad existentes y futuras, desde la implementación de DLP hasta las integraciones de GRC.
Simplifique la orquestación y la aplicación de la seguridad integrando su política de seguridad con DRM, DLP, cifrado, etiquetado y otras herramientas puntuales, todo con una base central de comprensión de cuáles son sus datos confidenciales, dónde se encuentran y qué tipo de políticas de seguridad se deben aplicar a categorías específicas de datos.
Etiquete y etiquete automáticamente los archivos según la clasificación existente para facilitar la gestión de la retención y la gobernanza, y Alinear etiquetas con flujos de trabajo automatizados para la protección avanzada de datos y la gestión del ciclo de vida.
Conclusión: comience con BigID para proteger sus datos no estructurados
BigID es la primera solución de protección de datos que adopta un enfoque basado en la privacidad para proteger datos sensibles. BigID descubre, mapea y clasifica datos sensibles a gran escala en toda la infraestructura y operaciones globales de una organización, respaldando así programas de seguridad, privacidad y gobernanza centrados en los datos.
Listo para la empresa y diseñado específicamente para manejar el volumen y la amplitud de los datos actuales, BigID admite una escala y un rendimiento ágiles y con capacidad de respuesta, con cobertura de datos no estructurados inigualable incluyendo CIFS/SMB; NFS; AWS; Azure; Box; Google Drive; Gmail; Office 365 (OneDrive); SharePoint; y Exchange.
Obtenga una amplia cobertura no estructurada en contexto con otros tipos de datos en centros de datos y en la nube, e integre sin problemas información de inteligencia de datos en un único panel.
BigID permite a las organizaciones obtener visibilidad y cobertura completa de datos confidenciales y de alto riesgo, descubrir datos oscuros, gestionar riesgos, automatizar y aplicar políticas de seguridad y alinear un enfoque de seguridad por diseño con una seguridad centrada en la privacidad.
Descubra más en www.bigid.com/demo – o descargar 6 pasos para proteger los datos empresariales: el libro blanco.
Autor
