En el mundo corporativo, la privacidad se refiere a los datos de empleados / negocios, así como a los datos de clientes / proveedores debe protegerlos a ambos. Las leyes como CCPA y GDPR, sin mencionar las regulaciones del mercado vertical, dejan en claro cuán importante es este problema para los reguladores, que tienen en cuenta las herramientas de seguridad en uso y su configuración durante las investigaciones. (Las multas pueden ser significativamente más bajas si las herramientas están bien implementadas).
A medida que las empresas continúan acelerando hacia la nube, no hay mejor momento que el Día de privacidad de datos para revisar todos los aspectos de la recopilación, uso, almacenamiento, transferencia y procesamiento de datos en la nube.
- Investigue TI en la sombra, proveedores de nube no autorizados y SU seguridad
Los datos de la organización pueden filtrarse fácilmente a través de los servicios en la nube en la sombra por ejemplo, los usuarios que convierten un PDF de la lista de teléfonos de los empleados, traducen un approach de proyecto o usan una herramienta de presentación basada en la nube o servicios de colaboración no administrados. La corporación es responsable de la pérdida de datos de sus empleados, sin importar cómo ocurra. Por lo tanto, TI necesita visibilidad en todos los servicios en la nube, incluso aquellos configurados por usuarios individuales o grupos pequeños. Una vez que tenga una imagen completa del uso no autorizado de la nube, esta información debe compartirse con el equipo de compras para ayudarlos a decidir qué servicios aprobar.
- Integrarse con SSO global
Los servicios globales de inicio de sesión único pueden garantizar que el acceso de los usuarios se elimine de todos los servicios cuando abandonan la organización, así como reducir el riesgo de pérdida de datos por la reutilización de la contraseña. En un servicio que no es SSO, los usuarios a menudo llaman al equipo del servicio de asistencia cuando han olvidado sus contraseñas, por lo que SSO tiene el beneficio adicional de reducir el volumen de llamadas.
- Trabaje con GRC y realice talleres sobre cómo los usuarios usan la nube
GRC (gobernanza, riesgo y cumplimiento) se debe incorporar para ayudar a definir las políticas de uso de la nube. A menudo, no están seguros de cómo se usan las nubes y qué datos se cargan, y por lo tanto, las políticas son generales. Cree un equipo que incluya usuarios, GRC y seguridad de TI para definir políticas para el mundo real al revisar las posibles acciones que se pueden tomar en cada servicio en la nube en distinct y garantizar que las políticas se definan para todas las eventualidades.
- Revise IaaS: no asuma que DevOps hizo todo bien
El área de nube de más rápido crecimiento es IaaS: AWS, Azure y Google Cloud Platform. Aquí, es muy fácil para los desarrolladores configurar mal la configuración y dejar los datos abiertos a los atacantes. Se necesita tecnología para verificar todos los servicios de IaaS (siempre encontramos más de lo que la gente cree que tienen) y su configuración idealmente, este sería un sistema que puede cambiar automáticamente la configuración a opciones seguras.
- Manténgase actualizado con la tecnología: sin servidor, contenedores, servicios de correo electrónico en la nube, and so forth.
La nube incluye muchas tecnologías que evolucionan constantemente por lo tanto, la seguridad también debe cambiar. Los desarrolladores a menudo están a la vanguardia de los avances tecnológicos: traen código de GitHub, ejecutan sistemas de contenedores que solo viven durante unos minutos (incluso este no es un tiempo demasiado corto para requerir protección) y más. La seguridad de TI debe asociarse con los equipos de desarrollo e implementar tecnologías para defenderse de las últimas amenazas.
- Integre con la puerta de enlace world-wide-web y DLP: no pierda la seguridad al pasar a la nube
Después de invertir tiempo y dinero durante la última década en seguridad, no querrá perder esa inversión cuando se mude a la nube. A medida que los sistemas y los datos se mueven hacia el cielo, debe implementar tecnologías que puedan integrarse con sus servicios y tecnología existentes. Por ejemplo, no debería tener dos modelos DLP diferentes según los servicios informáticos utilizados por sus empleados. Implemente sistemas que puedan integrarse entre sí, preferiblemente con un sistema de administración de un solo panel de vidrio.
- No asuma que los CSP mantendrán sus registros para siempre
Si sucede lo peor, debe investigar el historial de un incidente de pérdida de datos. Los CSP rara vez guardarán registros de datos para siempre: consulte su contrato para averiguar cuánto tiempo guardan los registros y considere tener sus propios registros para que se puedan ejecutar investigaciones forenses incluso si el incidente de pérdida de datos primary fue hace algún tiempo.
- Considere políticas diferenciales basadas en ubicación, dispositivo, and so on.
Una vez que los datos están en la nube, la idea es facilitar el trabajo global. ¿Es eso siempre apropiado? Por ejemplo, ¿qué sucede si un empleado desea descargar un documento corporativo confidencial a través de un servicio en la nube a un dispositivo no administrado? Considere las situaciones a las que se enfrentarán sus empleados y formule una política que brinde la máxima cantidad de seguridad requerida y, al mismo tiempo, bring about la menor interrupción posible.
- Promocione las nubes que le gustan a sus usuarios
Las zanahorias funcionan mejor que los palos para capacitar a los usuarios. No solo bloquee los servicios que no le gustan, promocione ampliamente los servicios en la nube que aprueba, aquellos que se ajustan a sus necesidades de seguridad, sus indicadores de rendimiento y capacidades. Promuévalos a través de la intranet, los weblogs y el internet marketing interno, y redirija las solicitudes a los servicios no compatibles de nuevo a aquellos que desee.
- La privacidad y la seguridad son responsabilidad de todos: atraer a otros departamentos y usuarios
Quizás la última recomendación debería ser la primera: utilice todos los métodos disponibles para capacitar a los usuarios, pero antes de hacerlo, trabaje con esos usuarios y sus representantes para definir las políticas apropiadas. El objetivo es alentar a los usuarios a usar servicios en la nube que no solo sean seguros, sino que les permitan ser lo más productivos posible. Los propios usuarios suelen tener excelentes tips de los servicios que les gustaría usar, por qué y cómo, así que tráelos para ayudar a definir las políticas y trabajar en conjunto con GRC.
Esto es para una implementación en la nube exitosa y segura, y para mantener los datos personales de sus usuarios y clientes tan seguros como sea posible en 2020 y más allá.
Para obtener más información, eche un vistazo a nuestro recurso adicional en salvaguardar sus datos personales en la nube.
