viernes, 20 de marzo de 2020

Las regulaciones de los datos son Reales ¿Estás protegido en la nube?


 

6 mejores prácticas para garantizar la privacidad y protección de los datos en la multinube híbrida

Por Steve Sasse, Director Estratégico de Equinix para América Latina y el Caribe.
Desde que entró en vigor el Reglamento General de Protección de Datos (RGDP) de la Unión Europea, más de 60 jurisdicciones alrededor del mundo han aplicado o propuesto leyes postmodernas de privacidad y protección de datos.[i] Recientemente en EUA, la Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el primero de enero de este año, mientras que en Brasil, la Ley General de Protección de Datos (LGPD) inició este mes. De acuerdo con Gartner: “En el 2023, el 65 % de la población mundial tendrá su información personal resguardada bajo regulaciones de privacidad modernas, un aumento de 10 % respecto al presente año”.i

Cabe señalar que estas regulaciones de privacidad y protección de datos no son meramente directrices, ya que su incumplimiento implica penalizaciones importantes. Desde su entrada en vigor en mayo de 2018, el GDPR ha dado lugar a más de 160,000 notificaciones de infracciones de datos en Europa y se estima que ha generado más de $126 millones de dólares (114 millones de euros) en multas.[ii]
La autoridad mexicana de protección de datos (conocida como “INAI”) es probablemente la autoridad de protección de datos más activa en América Latina, ya que, entre enero de 2012 y junio de 2017, impuso sanciones a las empresas que operan en México en 147 casos, por un monto de aproximadamente $16.7 millones de dólares. Si bien las leyes mexicanas ofrecen flexibilidad y la posibilidad de autorregulación, es probable que México adopte, hasta cierto punto, disposiciones de protección de datos personales y seguridad comparables a las regulaciones europeas. [iii]
6 mejores prácticas para la privacidad y protección de datos

Hoy, los datos personales se encuentran en nuestros smartphones, en nuestros asistentes personales del hogar y distribuidos en las bases de datos privadas y públicas en los centros de datos y en la nube. Por lo tanto, la estrategia de seguridad de una compañía para proteger los datos tanto en tránsito como estáticos necesita también estar distribuida. Una estrategia de seguridad distribuida que también contemple la nube puede mejorar la capacidad de su compañía para proteger sus propios datos y los de los clientes, así como evitar problemas con las regulaciones 

A continuación se muestran seis mejores prácticas que puede aplicar como parte de su estrategia de seguridad en general para las infraestructuras de TI híbridas:

  1. Conozca sus fronteras de seguridad: ¿Sabe dónde termina la frontera de seguridad de su compañía y dónde empieza la de sus proveedores de servicios en la nube? El primer paso para una estrategia de seguridad distribuida integral es conocer las políticas y obligaciones de protección de datos de su compañía y las de su proveedor de nube. Trazar un mapa completo del panorama de seguridad de su compañía y de su proveedor de nube le puede ayudar a llenar los vacíos que podrían conducir a posibles amenazas.

  1. Implemente estratificación de datos: Puesto que no todos los datos se protegen de la misma manera, utilice una arquitectura de datos estratificada. Esto le permite definir niveles de control específicos para diferentes tipos de información con base en las políticas de seguridad de su compañía. La estratificación automática de los datos permite trasladar los datos entre diferentes niveles de almacenamiento para asegurar que los datos apropiados residan en la tecnología de almacenamiento adecuada con base en esas políticas. Por ejemplo, puede almacenar los datos PII localmente o en una nube privada donde tenga más control, acceso y visibilidad. Asimismo, debe “enmascarar” o filtrar los datos PII cuando los traslade a un ambiente donde tenga menor control. 

  1. Centralice los controles de acceso de los usuarios: Proteja la identidad y acceso a los datos y aplicaciones a través de tokens OAuth centralizados para autorización. Los sistemas de identidad y control de acceso unificados pueden aplicar diferentes permisos de acceso en los sistemas locales y en la nube. Las compuertas de API también pueden simplificar la gestión de tokens de acceso de usuarios para las aplicaciones móviles empresariales y de consumo.

  1. Adopte controles de seguridad integrales y consistentes: Implemente políticas de seguridad consistentes para todas las aplicaciones y sus datos en múltiples niveles de datos, desde los dispositivos móviles y los servidores periféricos hasta los servidores de respaldo. Con controles de seguridad consistentes, puede aplicar sus políticas de seguridad de forma eficiente. Cuando se simplifica la aplicación de las políticas de seguridad, disminuye el riesgo de que los empleados las eludan. La implementación de controles consistentes también le permite supervisar las aplicaciones y las actividades de los usuarios en todas las plataformas para mitigar inmediatamente cualquier infracción.

  1. Utilice una protección de datos adecuada para la continuidad del negocio: Capture imágenes de sus computadoras y datos para las soluciones de respaldo y recuperación, disponibilidad y recuperación ante desastres. Guarde esas imágenes dentro de cajas fuertes en su centro de datos o en la nube. Para una protección eficaz contra los ataques de ransomware:
·         Realice pruebas de recuperación a un momento dado por medio de herramientas y algoritmos probados
·         Asegúrese de que las claves y los datos de respaldo cifrados no se guarden en el mismo ambiente.
·         Desarrollé un plan de contingencia para determinar cuándo debe desconectar y trasladar las aplicaciones, la recuperación y la tolerancia a fallas a un ambiente de recuperación ante desastres.

  1. Aplique una seguridad adecuada para la gestión de registros: Los registros de seguridad generalmente contienen información confidencial, por lo que debe protegerlos de forma adecuada. Asegúrese de los registros estén cifrados y defina un lapso para eliminar los registros que hayan caducado. Aplique un “ciclo de vida” para que se eliminen después de un lapso adecuado.

Platform Equinix® ofrece servicios de interconexión y periféricos que pueden ayudarle a implementar estas mejores prácticas de seguridad localmente y en la nube. Por ejemplo, Equinix SmartKey™ es un servicio de gestión de claves y criptografía segura basado en SaaS que protege los datos locales y en ambientes de multinube híbrida a través de una plataforma interconectada global. Con SmartKey, usted controla quién accede a los datos y las claves porque se almacenan por separado. Por ejemplo, si usted es un proveedor de nube que debe responder a un citatorio del gobierno relacionado con el cifrado de datos, puede controlar quiénes acceden a qué datos, sin proporcionarles las claves.

Por otra parte, Equinix Cloud Exchange Fabric™ (ECX Fabric™) le permite desarrollar una interconexión privada directa y segura a los datos locales y a los datos dentro de la nube. Puede establecer ambientes de datos seguros y estratificados de forma eficiente y económica que cumplan las regulaciones.

No hay comentarios:

Publicar un comentario