Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Los requisitos de protección de datos comienzan con una comprensión firme de las necesidades de GRC

Si su organización aún no ha sufrido una brecha de seguridad cibernética, hay pocas dudas de que lo hará en el futuro. Los incidentes cibernéticos, por menores que parezcan, ponen en riesgo a su organización y requieren una respuesta. Incluso un problema aparentemente benigno podría ser el precursor de algo mucho más serio, por lo que las organizaciones necesitan un plan para manejar todo tipo de investigación de seguridad de datos. Con las probabilidades de ser atacado tan altas, la planificación para lo inevitable debe comenzar de inmediato.

Es probable que su organización tenga requisitos de protección de datos que cubran los activos físicos y la información digital. Aquí, nos centraremos completamente en identificar las vulnerabilidades de seguridad de la información digital y cómo las reglas de cumplimiento regulatorio influyen en los enfoques de las empresas para la protección de datos.

Conozca sus vulnerabilidades cibernéticas

Cuando comience a considerar qué incluir en sus planes de protección de datos y cree roles y responsabilidades predefinidos, recuerde que el tamaño y la complejidad de una empresa son importantes. Sin embargo, un plan que es demasiado complejo y detallado puede funcionar en su contra: no desea que un plan sea tan complejo que usted y su personal no lo entenderán ni lo seguirán cuando llegue el momento.

Llevar a cabo una planificación avanzada ayuda a que la respuesta sea fluida y profesional, pero tenga mucho cuidado al copiar otros planes que fueron diseñados para apoyar a otra organización. Si bien pueden leer bien y parecer impresionantes, podrían pasar por alto problemas críticos y crear cargas indebidas en su equipo.

CONTENIDO RELACIONADO  ¿Qué es FASAB (Consejo Asesor de Normas Federales de Contabilidad)?

Para brindar una respuesta adecuada, debemos comprender qué podría estar motivando a los atacantes. Algunas de las motivaciones comunes que se ha demostrado que impulsan a los ciberdelincuentes modernos incluyen:

  • Recopilar información crítica sobre sistemas y personas para una variedad de usos ilícitos;
  • Nacionalismo y patriotismo;
  • Estados-nación que se preparan para futuros ataques a las empresas y la infraestructura crítica;
  • Robo de datos de clientes e información financiera para robo de identidad, extorsión y chantaje;
  • Robo de diseños, investigación y otra propiedad intelectual para espionaje corporativo;
  • Robo de dinero de individuos y / u organizaciones para financiar el estilo de vida e incluso el terrorismo; y
  • Activismo digital y hacktivismo por creencias religiosas o personales.

No olvide las reglas de cumplimiento de seguridad

Las empresas también deben considerar los requisitos de protección de datos exigidos por el gobierno, así como también violar las regulaciones de transparencia que imponen requisitos de divulgación a los consumidores, las fuerzas del orden y otras agencias gubernamentales.

Algunas regulaciones de seguridad y privacidad de datos, como la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA), prevén la «preferencia federal», lo que significa que la ley federal generalmente tiene prioridad a menos que la ley estatal proporcione mejores protecciones para los consumidores. Para citar a la Conferencia Nacional de Legislaturas Estatales, «Cuarenta y siete estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes han promulgado leyes que requieren que las entidades privadas o gubernamentales notifiquen a las personas sobre violaciones de seguridad de información que involucre información de identificación personal». Esto deja a Alabama, Nuevo México y Dakota del Sur sin requisitos de protección de datos a nivel estatal y / o legislación de incumplimiento.

CONTENIDO RELACIONADO  Cómo las credenciales codificadas amenazan la seguridad de ICS

Mientras investiga sus obligaciones regulatorias, tenga en cuenta las siguientes discrepancias al considerar las pautas de notificación de violación de datos:

Cuando comience a considerar qué incluir en sus planes de protección de datos y cree roles y responsabilidades predefinidos, recuerde que el tamaño y la complejidad de la empresa son importantes.

  • Algunas leyes estatales cubren las empresas porque operan dentro del estado, mientras que otras vinculan las obligaciones de cumplimiento con las que brindan productos o servicios a los residentes del estado.
  • Ciertas leyes requieren la notificación de violación de datos por simple acceso o divulgación no autorizados, mientras que otras no requieren notificación a menos que un análisis de riesgo muestre un riesgo significativo de daño.
  • Algunas regulaciones requieren que se notifique a los fiscales generales y otras agencias estatales, y otras tienen fechas límite específicas de notificación y reparación para diferentes clases de información.

Dependiendo de la clase de información que posea y las obligaciones asociadas de notificación de violación de datos y protección, la planificación variará. Si bien existen algunas acciones fundamentales que debe tomar en cualquier caso, es muy importante comprender las obligaciones legales específicas de su empresa. Las regulaciones federales como la Regla de banderas rojas bajo la Ley de Transacciones de Crédito Justas y Precisas y la Ley de Protección de la Privacidad Infantil en Línea bajo HIPAA, tienen obligaciones específicas de reportar incumplimientos.

También es importante no confundir las reglas de la industria de tarjetas de pago (PCI) con la ley. Estas regulaciones no cuentan con el respaldo del gobierno, aunque tienen la capacidad de imponer sanciones a una empresa que no cumpla con las reglas de PCI. Estas sanciones son parte de una estructura contractual que las empresas aceptan cuando solicitan aceptar tarjetas de crédito. Si una empresa acepta Visa, MasterCard, American Express, Discover o cualquier otra tarjeta de pago, la empresa debe aceptar sus términos y condiciones. Según PCI, existe un conjunto de comportamientos que todos los que aceptan tarjetas deben cumplir o enfrentar sanciones.

Al diseñar sus planes, tenga en cuenta que, si bien las reglas de PCI no tienen la fuerza de las regulaciones gubernamentales, debe tratarlas como si la tuvieran. Al igual que no proteger la salud y otros datos personales, las sanciones por incumplimiento de PCI pueden tener un gran impacto en los resultados de una empresa.

La seguridad de la brecha de datos y la respuesta a incidentes se han convertido en una realidad para las empresas modernas, pero las empresas pueden utilizar este hecho en su beneficio. Al estar preparados para amenazas aparentemente interminables y saber qué activos de datos son los principales objetivos, las empresas pueden mantenerse al frente de la búsqueda para proteger la información confidencial de las empresas y los consumidores.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué es la seguridad del servidor web?

La seguridad del servidor web es la protección de los activos de información a los que se puede acceder desde un servidor web. La seguridad del servidor web es importante para cualquier organización que tenga

AtScale Benchmarks Tres motores SQL-on-Hadoop

Numeroso SQL en Hadoop Los motores están disponibles para acceder a los datos almacenados en HDFS utilizando el conocido lenguaje SQL. Todos parecen prometedores, todos admiten un rico dialecto SQL, pero ¿cuál es el más

¿Qué es la autenticación de tres factores (3FA)?

La autenticación de tres factores (3FA) es el uso de credenciales que confirman la identidad de tres categorías separadas de factores de autenticación, por lo general, el conocimiento, posesión y inherencia categorías. La autenticación multifactor

Cómo RRHH puede planificar lo inevitable

Los directores ejecutivos percibieron la ciberseguridad como la tendencia económica o social global con más probabilidades de afectar a sus organizaciones en el futuro cercano, según el informe «Tendencias globales del talento 2018» de Mercer.

VMware gana terreno a medida que crece el mercado de VDI

La creciente diversidad de puntos finales del sistema está proporcionando al mercado de VDI un impulso reciente. Las empresas ahora admiten una variedad cada vez mayor de dispositivos y desean simplificar los requisitos de administración

¿Qué es el software social empresarial?

Software social empresarial (ESS) es un término general que describe las herramientas de colaboración y redes sociales utilizadas en grandes organizaciones. El software social empresarial incluye intranets corporativas y otras plataformas de software destinadas a

Abandonando la narrativa de contenedores vs. hipervisores

La mayoría de las discusiones que abordan las dos tecnologías principales para la virtualización (contenedores e hipervisores) presentan de manera destacada la palabra versus. Esta línea de pensamiento quiere enfrentar las dos tecnologías entre sí,

Confusión en torno a las funciones PL/SQL to_date y to_char

Estoy algo confundido con respecto a las funciones PL/SQL to_date y to_char. Ver lo siguiente: SELECT TO_CHAR(TO_DATE(TO_CHAR(TO_DATE(’23-MAY-2001′,’DD-MON-YYYY’),’DD-MON-YY’),’DD-MON-YY’),’DD-MON-YYYY ‘) DESDE DOBLE; La salida fue el 23-MAY-2001 Entonces hice esto: SELECCIONE TO_CHAR(TO_DATE(TO_CHAR(TO_DATE(’23-MAY-1901′,’DD-MON-YYYY’),’DD-MON-YY’),’DD-MON-YY’),’DD-MON-YYYY ‘) DESDE DOBLE; Pero la

Obtenga un retorno tangible con VMware Boomerang

VMware Boomerang es una herramienta que se ejecuta en Windows y le permite acceder rápidamente a las consolas de todas sus máquinas virtuales con solo un clic del mouse. Es excelente para acceder a escritorios

¿Qué significa realmente ‘definido por software’?

Parece que todos los años nos presentan nuevos términos que se utilizan para describir tecnologías innovadoras o tendencias de la industria. A menudo, estas palabras son acuñadas por los principales proveedores o analistas de la

Términos del RGPD de la UE que debe conocer

El Reglamento general de protección de datos, comúnmente conocido como GDPR, es una legislación de privacidad que estandariza las leyes de privacidad de datos en la Unión Europea y tiene como objetivo brindar a las

Cortafuegos validados

Por: Craig S. Wright Para llevar del proveedor de servicios: El cumplimiento de normativas y normas puede plantear varios desafíos tanto desde una perspectiva comercial como técnica. Esta sección del extracto del capítulo del libro

¿Qué es un asociado certificado de VMware?

VMware Certified Associate (VCA) es una certificación de nivel de entrada para los productos de nube y virtualización de VMware. Los exámenes de VMware Certified Associate no cubren habilidades técnicas, sino que requieren que los

IoT y su próximo chequeo

La próxima vez que se haga su examen físico anual, ¿el Internet de las cosas jugará un papel en ese examen? Quizás. Pero, ¿cómo se vería eso? IoT juega un papel en una multitud de

Deja un comentario