Gestión de datos

Por qué las empresas no implementan funciones de cumplimiento y seguridad de la información

0 0 4 minutos de lectura
5 pasos a seguir hoy

Las organizaciones implementan seguridad de la información (IS, InfoSec) y funciones de cumplimiento para mantener sus datos seguros. Sin embargo, hacer bien este trabajo no es una tarea fácil, ya que los avances tecnológicos continúan introduciendo nuevas amenazas y abriendo nuevas vías para que los malos actores comprometan el software de ciberseguridad.

Debido a que los datos existen en tantas formas, incluidos datos operativos, datos financieros e información de clientes y empleados, y en un volumen tan grande, puede ser difícil para las organizaciones mantenerlos seguros, incluso si gastan millones de dólares en ellos cada año.

Percepción y realidad: la brecha de seguridad de la información

Una empresa con 2000 empleados paga aproximadamente 528 000 dólares al año por InfoSec y capacidades de cumplimiento.Sin embargo, los costos asociados con la implementación y gestión de estas funciones pueden ser tan altos como $ 5,68 millones Según un estudio reciente realizado por la agencia de inteligencia de información Cognini, cada año.

«La mayoría de los responsables de la toma de decisiones no saben que sus organizaciones no pueden detectar la mayoría de los riesgos en su información y que TI ni siquiera lo intentará», afirma el informe.

«Esto claramente crea un riesgo de información claro e inmediato que nadie está tratando de mitigar».

A pesar del enorme costo, sólo 4% Según Cognini, de las empresas han implementado con éxito todas las capacidades de InfoSec y cumplimiento que han adquirido.

Esta estadística contrasta fuertemente con el hecho de que 89% de los ejecutivos de nivel C creen que sus equipos de TI han implementado todas las capacidades de InfoSec y cumplimiento que sus empresas han pagado, lo que indica una brecha importante entre la percepción y la realidad en lo que respecta a la seguridad de la información, según el informe.

Según Cognini, hay tres razones principales por las que las implementaciones de InfoSec no tienen éxito. Echemos un vistazo más de cerca a ellos a continuación.

Publicaciones relacionadas

Las empresas no detectan información personal sensible

Para evitar el acceso no autorizado o la divulgación de información regulada, las organizaciones deben determinar dónde reside esa información. Kony explicó:

«Sin embargo, muchas organizaciones tienen una cobertura de detección tan limitada que no pueden proteger adecuadamente sus activos de datos».

Es posible que las empresas no puedan detectar toda su información personal confidencial (SPI) porque no saben de dónde provienen esos datos o qué tipos de documentos los contienen. Además, incluso si saben qué buscar, es posible que no tengan las herramientas o los procesos necesarios para identificar, monitorear y proteger su información.

Las organizaciones que no detectan ni aseguran adecuadamente los SPI pueden sufrir violaciones de privacidad, filtraciones de datos y dañar gravemente su reputación.

A muchas empresas les puede resultar difícil entrenar el aprendizaje automático para detectar información de salud protegida, cualquier información de salud que esté protegida por la ley, incluidos los planes de tratamiento, los resultados de las pruebas y los registros médicos. Sin embargo, la detección de información personal confidencial, como audiencias disciplinarias, contratos de trabajo y talones de pago, es imposible para casi todas las organizaciones.

Entrenar el aprendizaje automático para detectar tipos específicos de documentos es mucho más difícil que detectar términos específicos en el texto. El resultado es que la mayoría de los tipos de SPI no están clasificados, monitoreados o protegidos.

La organización no protege la información interna confidencial

Cada organización tiene información propietaria y/o documentos sensibles y confidenciales que a menudo deben compartir de forma segura dentro y fuera de la empresa. Sin embargo, las empresas que no protegen sus documentos confidenciales pueden sufrir pérdidas de ingresos y daños a la marca, y también pueden tener que pagar cuantiosas multas por incumplimiento.

Por lo tanto, proteger la información confidencial y sensible es fundamental para el éxito a largo plazo de un programa de seguridad de la información. El cifrado es una excelente opción para mantener seguros los datos corporativos confidenciales.

El informe Cognini hizo un ejemplo:

«[For example], una empresa en la industria de viajes se vio comprometida. Los piratas informáticos tomaron el control de una de sus cuentas privilegiadas de datos y robaron gigabytes de datos confidenciales, incluida información confidencial interna. Se pudo acceder a la información porque los datos de la empresa no estaban firmados ni encriptados. «

Compartir información confidencial conlleva riesgos

Los datos confidenciales de una organización vienen en muchas formas, incluidos los registros de recursos humanos de los empleados, la información del cliente, los documentos legales y financieros, los datos operativos y más. La información que los empleados necesitan para hacer su trabajo no debe compartirse públicamente porque hacerlo podría dañar a su empresa.

Pero la verdad es que, para realizar el trabajo, los empleados a menudo deben colaborar con otros dentro y fuera de la organización. Esto a menudo significa que comparten datos corporativos confidenciales con personas y empresas sin permiso para acceder a ellos.

Hay dos tipos principales de esta exposición: interna y externa.

«Las exposiciones internas ocurren cuando los empleados que no confían en los permisos de acceso obtienen acceso a información confidencial», afirma el informe.

«La exposición externa ocurre cuando se comparte información confidencial fuera de la organización con personas u organizaciones que no tienen acceso a esta información».

Para garantizar que sus datos confidenciales estén protegidos, las organizaciones deben comprender a qué tipo de información acceden los empleados y cómo la comparten normalmente. Para detectar eficazmente este tipo de exposiciones, las empresas deben tener políticas claras que rijan qué empleados tienen acceso a qué tipos de datos y prestar mucha atención a cómo y con quién comparten esta información.

Las empresas deben asegurarse de que sus empleados comprendan la sensibilidad de la información a la que acceden a diario y comprendan qué deben hacer con ella. Si los datos corporativos confidenciales de una organización terminan en las manos equivocadas, podrían usarse para fraude, robo de identidad u otras actividades maliciosas.

Por lo tanto, los empleados deben asegurarse de proteger esta información y solo compartirla con aquellos que tienen acceso a ella.

la línea de fondo

Las organizaciones que desean garantizar el éxito de sus programas de InfoSec deben tomar las medidas proactivas necesarias para proteger su información corporativa confidencial y evitar que caiga en las manos equivocadas.

Cognini recomienda considerar los siguientes pasos:

  • Mapeo de datos críticos, ya que la mayoría de las empresas carecen de visibilidad de sus datos críticos, incluida su presencia y exposición;
  • Firmar y cifrar datos confidenciales internos;
  • Clasifique y etiquete los datos confidenciales para que los empleados sepan qué información es más confidencial y edúquelos para que puedan administrar y mitigar los riesgos potenciales asociados con los datos.

LEER
Las emisiones de gases de efecto invernadero de China superan la suma de todos los países desarrollados
Etiquetas
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba