Home

Algunas empresas que nos han elegido

Privacy Officer y Privacy Consultant
Esquema CDP según ISO/IEC 17024:2012
European Privacy Auditor
Esquema de certificación ISDP©10003 según ISO/IEC 17065:2012
Auditor
Según la norma UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Según la norma ISO/IEC 17024:2012
Delegado de Protección de Datos
Según la norma ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Según la norma ISO/IEC 17024:2012
ICT Security Manager
Según la norma UNI 11506:2017
IT Service Management (ITSM)
Según la Fundación ITIL
Ethical Hacker (CEH)
Según EC-Council
Network Defender (CND)
Según EC-Council
Computer Hacking Forensics Investigator (CHFI)
Según EC-Council
Penetration Testing Professional (CPENT)
Según EC-Council

Cualificaciones profesionales

¡Manténgase al día de la actualidad mundial!

Seleccionar los temas que le interesan:

News

Inicio / News
/
El enfoque es importante en la seguridad de los datos de la empresa

El enfoque es importante en la seguridad de los datos de la empresa

Con la difusión de las violaciones de los datos siempre más empresas se ponen la pregunta de la seguridad interna. Cuando se enfoca el argumento, pero, la primera pregunta que se hace no es sobre la protección de datos internos, pero sobre el estado general de la seguridad de la red informática.

Este enfoque está pasado de moda y probablemente para las organizaciones privadas y publica es hora de pasar por delante y abrazar un nuevo punto poniendo sobre el mismo plan también la protección de datos.

Ahora, gran parte de los retos y del Budget dedicado a la ciber seguridad se centran en la protección de la red informática y solo en segundo compás sobre los datos que incluyen.

La necesidad de un cambio de paradigma está justificada desde algunas razones fundamentales.

Violación de datos y violación de la red que no son la misma cosa – desde un punto de vista histórico es evidente que los hackers criminales a nivel global sean frecuentemente en ventaja estratégica respeto a quien se ocupa de ciber seguridad. A demonstración son algunos de los casos más obvios de los últimos años: la violación de datos que en 2013 ha afectado Adobe provocando la sustracción de 153 millones de récord sobre lo usuarios, la violación del data base de Equifax en 2017 con 148 millones de consumidores sustraídos y el reciente caso de SolarWinds (al final de 2020).

Ninguna organización, como estructurada y con medidas económicas y humanos adecuadas, parece ser todo inmune a este riesgo. Y si las violaciones de datos hacen noticias, frecuentemente es porque las organizaciones afectadas no han intentado a tener al seguro los datos de los propios clientes. Siguiendo las huellas de los anos pasados, las violaciones de las informaciones más sensibles y de la privacidad de los privados ciudadanos permanecen uno de los argumentos más “caldos” también por el 2021.

Sin embargo, aunque el término inglés «data breach» se utiliza en la actualidad, los CISO y los CIO siguen centrando sus esfuerzos en el refuerzo de la seguridad de las redes y, en segundo lugar, en la seguridad de los datos en sí mismos.

Los datos sugieren que este enfoque no está dando los resultados esperados. Entonces, ¿por qué se sigue insistiendo en esta línea? Desde un punto de vista práctico, el enfoque actual que se centra en la protección de la red no garantiza un nivel de seguridad aceptable para los datos y la información (sin comprometer el rendimiento de la red en su conjunto).

Por el contrario, los SIC deberían empezar a considerar la separación del concepto de «seguridad de datos» de la red como tal, mediante un overlay criptográfico que proteja la información. Este enfoque garantiza a las empresas y a los organismos administrativos que, en caso de que un ciberdelincuente pueda acceder a una red, no podrá utilizar los datos que hayan sido totalmente ilegibles e indescifrables. Así, la integridad, fiabilidad y confidencialidad de los datos permanecen intactas, sin afectar negativamente al rendimiento de la infraestructura informática.

Por si fuera poco, con la entrada en vigor del GDPR en 2018, se hizo aún más evidente lo importante que es para las empresas proteger sus datos, so pena de la aplicación de sanciones pecuniarias.

Sin embargo, estas sanciones, como cabría pensar, no se aplican sobre la base de violaciones de la red. De hecho, si un Hacker Criminal fuera capaz de violar el perímetro de defensa de la compañía, pero sin robar los datos almacenados en su interior, no sería una violación.

Tanto el GDPR como otras normativas (CCPA, HIPAA y PCI-DSS) tienen como objetivo la seguridad de los datos, pero la puesta en práctica de estas modalidades de protección depende de los casos individuales y del tipo específico de actividad realizada por la empresa. Poner en el centro la protección de los datos personales, probablemente, representará un tipo de protección que nunca está de moda, incluso si se introducen nuevas normas.

Los datos se tragan – Siguiendo la feroz ley de la oferta y la demanda que domina todo el mercado, el aumento del interés en el mercado negro para los datos de valor ha provocado un consiguiente aumento de los precios también. Por esta razón, para los administradores de CISO e IT, proteger sus datos en lugar de la red debería ser primordial.

¿Qué se puede hacer en la práctica para proteger los datos? Para empezar, es fundamental invertir la mentalidad de la seguridad de las empresas para que la protección de datos ocupe el primer plano. Todas las decisiones del lado ciberterrorismo y las inversiones relacionadas deben orientarse en esa dirección.

Estas son algunas de las preguntas que un CISO debe plantearse antes de elegir el tipo de enfoque que debe adoptarse:

  • ¿Esta solución protegerá los datos dondequiera que estén dentro de la red?
  • ¿esta tecnología resultará eficaz también en el caso en cual los criminales informáticos puedan infiltrarse en la red?
  • ¿la estrategia elegida respecta las normativas nacionales e internacionales?
  • ¿La empresa es protegida desde el punto legal en el caso en cual se realiza una violación de datos?

La solución implementada resultará eficaz solamente en caso un cual la respuesta a todas estas preguntas sea afirmativa. Las empresas tienen el deber de proteger los datos de los propios usuarios de las amenazas externas, no solo para el miedo de recibir sanciones, sino también por la simple integridad profesional.

¡No bajemos la guardia!

FUENTE: FEDERPRIVACY

Recomendados para ti

Búsqueda avanzada