Crear y operar un plan de gestión de datos puede llevar mucho tiempo y ser abrumador. No tienes que hacerlo solo. BARR Advisory le pidió a Dariek Howard, gerente de Attest Services, que compartiera sus pensamientos y recomendaciones para construir un plan de gestión de datos efectivo. Aquí están sus mejores consejos para ayudarlo a través del proceso:

1. Comprenda qué datos tiene y dónde residen esos datos. Sin esta información, es imposible entender qué salvaguardas deben implementarse y dónde deben enfocarse sus prioridades y recursos inmediatos. Comience por compilar un inventario de los datos de su entorno. Luego, utilizando esquemas de clasificación internos, asigne niveles de clasificación a esos datos en función de su sensibilidad.

2. Implementar controles de seguridad en orden de prioridad. Seamos realistas, nunca hay suficientes recursos disponibles para clasificar todo como "altamente confidencial" e implementar las salvaguardas técnicas más fuertes de una vez. Priorice la implementación de controles de seguridad como el cifrado y la administración de acceso para los datos considerados más críticos para su organización y su misión primero.

Para tener un ciclo de vida de gestión de datos bien definido, también es importante establecer períodos de retención en los activos de acuerdo con sus estándares de clasificación interna y los requisitos legales o reglamentarios. Debe implementarse un medio seguro para eliminar los datos una vez que se hayan superado esos umbrales de retención.

3. Aproveche los activos que procesan, almacenan o respaldan los datos dentro de su entorno. Estos son algunos de los puntos más críticos a considerar:

• Seguridad de las personas: Los empleados a menudo son responsables de administrar directamente los datos en el día a día. Implementar programas de capacitación periódica para reforzar su comprensión de la gestión de datos, su importancia y los pasos que se pueden tomar para mitigar los riesgos.
• Seguridad del correo electrónico: Aplique controles de seguridad de correo electrónico para restringir los tipos de datos que entran y salen de su organización. Esto podría incluir, pero no se limita estrictamente a, el uso de tecnologías de cifrado de correo electrónico, el bloqueo de tipos de archivos específicos, como .exe, y la implementación de un entorno de espacio aislado para escanear correos electrónicos entrantes con archivos adjuntos.
• Seguridad web: Implemente filtros de contenido web para bloquear el acceso a sitios web maliciosos conocidos y otras páginas web, como sitios P2P, donde podría ocurrir la pérdida de datos.
• Seguridad de los medios: Considere restringir el uso de medios extraíbles solo a aquellos que lo requieran y cree un proceso de aprobación interna para determinar quién tiene acceso.
• Seguridad de endpoints: Instale software antivirus e implemente el cifrado de disco completo en los puntos finales, es decir, servidores y estaciones de trabajo, que almacenan o procesan datos confidenciales. Además, considere la posibilidad de quitar los permisos administrativos locales de los usuarios finales.

4. Comprenda los riesgos únicos de su organización. Completar una evaluación de riesgos es crucial para comprender la postura de seguridad actual de su organización y dónde están sus principales riesgos. Los sistemas que almacenan o procesan datos deben someterse a evaluaciones de riesgos periódicas para determinar la probabilidad y el impacto potencial de una violación, la fuerza agregada de los controles de mitigación establecidos y la calificación general de riesgo residual del entorno. Cuando las clasificaciones de riesgo residual exceden los umbrales internos de tolerancia al riesgo definidos en los procedimientos de gestión de riesgos, se deben implementar medidas de seguridad adicionales para proteger los datos más críticos de la organización y reducir las calificaciones de riesgo residual a un nivel aceptable.

Una evaluación de riesgos también puede ser un recurso útil para obtener la aceptación del nivel ejecutivo de recursos adicionales, como personas y herramientas, que pueden ser necesarios para proteger mejor los datos de la organización y las personas que representa.