Autor: Willy Alfredo Padua., CISA, CRISC CDPSE y Willie Gerónimo., CISM
Fecha de publicación: 17 Marzo 2023
El mayor desafío que enfrentan las organizaciones y los responsables de Seguridad de Datos que dependen de ellos no es un problema tecnológico o de una amenaza inminente de ataques cibernéticos. Más bien, es asegurarse de que todos en la organización estén en la misma página y basar sus decisiones y acciones en el mismo conjunto de suposiciones.
Según investigaciones realizadas por Enterprise Management Associates (EMA), muchas organizaciones tienen planes regionales o divisionales para operaciones de seguridad que pueden resultar en recursos desperdiciados y tiempos de respuesta a incidentes más lentos, entre otros problemas.
Particularmente en organizaciones donde se espera que la función de seguridad de datos se ejecute en segundo plano y mantenga las cosas seguras, es probable que haya diferentes Prioridades, expectativas y supuestos relativos a la relación de la seguridad de los datos con la gestión empresarial, la tecnología y otras áreas.
Para que los esfuerzos de Seguridad de Datos sean efectivos, es fundamental que las personas en todas las áreas y niveles de la empresa operen bajo cinco supuestos claves relacionados con la seguridad de los datos.
La auditoría interna debe desempeñar un papel clave en esto. Con su alcance interdepartamental y visibilidad en toda la organización, los esfuerzos de gestión de riesgos de la auditoría interna están en una posición única para promover la alineación necesaria y evaluar su efectividad.
1. Los equipos de Seguridad de Datos deben tomar un Enfoque Integrador.
Casi todos los aspectos clave de la Seguridad de los Datos se están ampliando de alguna manera. La definición del lugar de trabajo, la ubicación de la fuerza laboral, la variedad de negocios, los procesos habilitados para datos y el volumen de los dispositivos de usuario final se han expandido en los últimos años. Todas las señales apuntan a la necesidad de tomar un enfoque expansivo, de nivel superior y más integrado a la Seguridad de la Información y los datos, en contraposición a considerándolo simplemente como una preocupación especializada.
De ello se deduce que muchos líderes empresariales sostienen que su mayor desafío de seguridad de datos no es táctico. En cambio, dicen, es el panorama general.
En una encuesta de investigación, se preguntó a los encuestados: "¿Cuál es el mayor problema o desafío de Seguridad de Datos de su organización?" Las dos principales respuestas fueron:
1. Estrategia de seguridad unificada en toda organización (22 %)
2. La complejidad de las implementaciones de datos (16 %)
Es imprescindible contar con un equipo dedicado a la Seguridad de Datos con responsabilidades definidas, si La Alta Gerencia y la Junta se toman en serio desarrollar una estrategia unificada, el equipo de seguridad de datos debe ser incluido para trabajar de una manera más interactiva e integradora en todas las áreas de la organización.
Esto naturalmente incluye tener interacciones con la planificación estratégica, equipos de desarrollo de productos y servicio al cliente, (por ejemplo), para garantizar que la protección de datos sea prevista para ellos en lugar de incluirlos en última instancia.
Este enfoque ayuda no solo a minimizar las vulnerabilidades de seguridad datos, también para maximizar eficacia. En organizaciones sin una estrategia unificada, hay una mayor probabilidad de desperdiciar dinero en herramientas que son redundantes o no son compatibles entre sí en múltiples áreas de la organización. Como se señala en el Informe de defensa digital de Microsoft más reciente:
Las organizaciones deben ser capaces de ver a través de sus aplicaciones, “endpoints”, red y usuarios... [ellos] También se verá impulsado a reducir los costos mediante la adopción de más de las capacidades de seguridad integradas en su nube y plataformas de productividad de elección. Para maximizar el Eficacia de las organizaciones de seguridad, las herramientas deben estar totalmente integradas para mejorar la eficacia y proporcionar Visibilidad de extremo a extremo.
Cómo puede ayudar la Auditoría Interna.
La auditoría interna está en una posición única para mirar a través de toda la organización y determinar dónde hay desajustes y redundancias entre diferentes áreas del negocio. Aunque un dato discreto, la auditoría de seguridad puede ser útil, la auditoría interna puede servir mejor para integrar la Seguridad de los Datos; en cada Auditoría de TI se conduce a construir un sentido de alineación a lo largo del tiempo.
2. Los programas de privacidad de datos pueden crear diferenciación competitiva.
En muchas organizaciones, los equipos de Seguridad de Datos tienen un papel similar al de los oficiales deportivos; se consideran haciendo su mejor trabajo cuando son imperceptibles y solo reciben atención cuando algo sale mal. Sin embargo, la función de Seguridad de Datos está a la vanguardia.
CSO informó que casi la mitad de las organizaciones encuestadas están aumentando el gasto en ciberseguridad en 2022, mientras tanto, más organizaciones están decidiendo que si van a gastar grandes cantidades de dinero en Seguridad de Datos y Cumplimiento Normativo, deberían poder usarlo para decirle proactivamente a sus clientes sobre la importancia de esto.
En la encuesta anterior, más del 70 % de los consultados indicaron que podrían usar, o ya habían usado, alguna Regulación o Programas de Cumplimiento o Privacidad de Datos como un programa competitivo diferenciador en el mercado.
Con el Reglamento General de Protección de Datos de la UE (GDPR) y el consumidor del estado de California en EE. UU. Ley de privacidad (CCPA) liderando el camino, es probable que la regulación de la privacidad de datos se amplíe considerablemente en los próximos años, y las organizaciones deben mirar el entorno regulatorio como una oportunidad. Para aprovechar las oportunidades, las organizaciones deben mejorar en la comunicación con sus clientes, tanto colectiva como individualmente, sobre la Seguridad de los Datos y la relación confianza-valor, fomentando así a los clientes que deben intercambiar voluntariamente información de valor porque los datos de seguimiento de terceros se convertirán en cada vez más difícil de obtener.
Un informe reciente de McKinsey and Company dice: "el problema con muchas iniciativas corporativas de privacidad de datos, es que son demasiado técnicos o legalistas para el cliente cotidiano." Para crear datos correctos relación, según el informe, las empresas deberían considerar invertir en datos a tiempo completo.
Tener una persona con fuertes habilidades de comunicación, complementado con conocimientos tecnológicos. Permitir que las organizaciones guíen a sus clientes comprender las políticas de protección de datos y tecnologías de una manera que se centra en el valor, como se opone a vadear los términos de uso y haciendo clic superficialmente en "aceptar".
El informe McKinsey afirma, además:
Empresas que invierten en estos elementos de datos la gestión de relaciones tiene la oportunidad de adoptar una posición de liderazgo en torno a la protección de datos eso podría traducirse en beneficios (dividendos) en los próximos años.
Las organizaciones también necesitan hacer un mejor trabajo comunicándose con su propia gente. Ofrecer o establecer planes de capacitación en concientización sobre seguridad son una práctica común, pero algunos empleados todavía se resisten y tienen una idea errónea. Las políticas de Seguridad de Datos y el personal principalmente evitar que hagan las cosas que necesitan hacer (que requieren soluciones alternativas) o atraparlos hacer cosas que se supone que no deben hacer. Al igual que con clientes, mensajería proactiva a los empleados en torno al cumplimiento debe estar impulsado por el valor y Centrado en cómo el equipo de Seguridad de Datos puede capacitar la organización y sus empleados para tener éxito, en lugar de que simplemente controlar el riesgo.
Cómo puede ayudar la Auditoría Interna.
La Auditoría Interna, desde su perspectiva puede ayudar a evaluar si los esfuerzos de comunicación son comprensibles y basado en valores, y si presentan una cultura de la misión de Seguridad de Datos.
3. Zero Trust es el camino por seguir.
Según el Informe de Defensa Digital de Microsoft, autenticación multifactor (MFA), es un componente clave de un marco de confianza cero, impide que el 99 por ciento de Acceso no autorizado.
Cómo puede ayudar la Auditoría Interna.
La auditoría interna es un socio clave con la seguridad de los datos en comprender la eficacia de la organización. Controla e identifica posibles vulnerabilidades en un entorno de confianza cero.
4. La Respuesta a Incidentes es igual de importante como Prevención de Incidentes.
En la séptima edición anual del Instituto de Recuperación de Desastres Informe de Tendencias Globales de Riesgo y Resiliencia, Los tres Los encuestados sobre amenazas ocuparon el primer lugar en general en términos del impacto comercial en su organización fueron ataques cibernéticos, interrupciones de TI y robo de datos.
Ellos hicieron sus selecciones de una lista de 20 potenciales amenazas que incluían pandemias, desastres naturales, interrupción de la cadena de suministro y cambio climático. Mientras tanto, el número cada vez mayor de los ciberataques semanales alcanzan un máximo histórico de 925 intentos por organización en el cuarto trimestre (Q4) de 2021.
Si el riesgo es realmente una función de la probabilidad y el impacto, entonces, la resiliencia de la ciberseguridad claramente debería ser alta y prioritaria para todas las organizaciones.
La respuesta a incidentes debe ser tratada con la misma diligencia y sentido de urgencia como la prevención de incidentes. Debería implicar no solo planes documentados, pero también probados regularmente para lograr acción rápida y adecuada en los momentos críticos después de que se detecta un evento o intento de ataque.
Cómo puede ayudar la Auditoría Interna.
La auditoría interna puede ayudar a crear conciencia sobre los ataques, frecuencia y tendencias de las vulnerabilidades y mediante la inclusión de una planificación de la respuesta a incidentes de Ciberseguridad en el programa de Auditoría Interna. Además, la Auditoría Interna puede ayudar a enlazar como impacta el riesgo de Ciberseguridad de una forma tal que llame la atención de la Alta Dirección.
5. Cuando se trata de datos, más no es necesariamente mejor.
Debido al atractivo de las posibilidades ilimitadas de grandes aplicaciones habilitadas para datos, las organizaciones han sido capacitadas para considerar sus datos como un activo estratégico clave.
Al mismo tiempo, teniendo en cuenta los posibles daños legales, financieros y de reputación representado por una violación de datos, las empresas deben también tener en cuenta la posible responsabilidad asociada con la protección de los datos de la organización.
Compliance Week informó que casi US $ 1.2 mil millones en multas se emitieron contra organizaciones en 2021 por violaciones del RGPD.
Mientras tanto, en enero de 2022, los datos europeos Supervisor de Protección (SEPD) notificado Derecho de la UE organismo de ejecución Europol de una orden de supresión Datos relativos a personas físicas sin establecimiento enlace a una actividad delictiva. Este fue uno altamente Instancia publicitada de una organización citada por Poseer datos que los reguladores creían que no deberían han poseído.
En resumen, no siempre es mejor tener más datos. En cambio, la decisión de mantenerlos o no tiene que ver hasta el valor de los datos, dado el riesgo que esto puede implicar.
Cómo puede ayudar la Auditoría Interna.
La auditoría interna puede ayudar en la recomendación de políticas sólidas de retención de datos; también es importante para Auditoría Interna comunicar el riesgo de no tomar buenas decisiones de retención de datos.
Conclusión.
Las soluciones técnicas más sofisticadas para los problemas de ciberseguridad de hoy se pueden ser inútil si las organizaciones no son conscientes y están alineadas en lo relativo a una estrategia de Seguridad de Datos.
Suposiciones y expectativas dispares en la organización puede socavar, incluso, a una estructura y equipo de seguridad de datos calificada.
Para la Alta Dirección, es de suma importancia hacer esfuerzos unificados de comunicación en toda la organización. Auditoría interna es un ente clave para ayudar a lograr una estrategia de trabajo unificado.
Nota: traducción fiel del artículo Essential Assumptions for Effective Data Security publicado en la página 16 del ISACA JOURNAL VOLUME 6 | 2022
#LatinAmerica
#CISM
#CISA
#CISM
#CISA
#CRISC
#CGEIT
#CDPSE
#CSXP