¿Conoces el coste de la protección de datos? El proveedor chino de soluciones de administración de redes sociales, Socialark, descubrió que el costo de no tener protección de datos era más de lo que podían soportar. A principios de este año, la empresa experimentó una violación masiva de datos que expuso 200 millones de cuentas de LinkedIn, Facebook e Instagram . Resultó que Socialark no había protegido con contraseña su base de datos ni cifrado sus datos, un paso en falso costoso para cualquier organización.
A la velocidad con la que se crean, almacenan y utilizan los datos, su organización no puede darse el lujo de no tener protección de datos (y capacitación en protección de datos) como parte de su estrategia de seguridad general. Sus empleados deben conocer y estar preparados para manejar las amenazas de phishing y ransomware que van directamente a sus datos.
Con las medidas de protección de datos adecuadas y el programa de capacitación de los empleados, puede crear un muro impenetrable alrededor de sus ecosistemas de datos y datos confidenciales. Esta publicación arroja luz sobre la capacitación en protección de datos, por qué sus empleados la necesitan y ocho mejores prácticas para la capacitación en protección de datos.
¿Qué es la formación en protección de datos?
La protección de datos consiste en almacenar y asegurar la precisión, confidencialidad e integridad de los datos. Pero la capacitación en protección de datos va un paso más allá para educar a los empleados sobre los estándares de la industria y la organización para proteger los datos de la destrucción, pérdida, modificación o robo.
Debido a que los compromisos de datos pueden ocurrir por error o por intención maliciosa, la capacitación en protección de datos aborda las prácticas adecuadas de manejo de datos para proteger contra intentos maliciosos. También ayuda a los empleados a obtener más información sobre la pérdida de datos, las lagunas de privacidad y los problemas de divulgación.
Mientras que la capacitación en protección de datos se centra en protocolos para garantizar la autenticidad de los datos, la capacitación en seguridad de datos se enfoca en protocolos para administrar los sistemas, las redes y la infraestructura que contienen los datos. Al combinar protocolos y capacitación para la protección y la seguridad de los datos, prepara a su organización para cumplir con los requisitos reglamentarios de protección de datos.
Por qué los empleados necesitan formación en protección de datos
La protección de datos creció a partir de big data, el potencial de violaciones de datos y la necesidad de cumplimiento normativo para proteger los datos de las violaciones de datos. Al proporcionar a los empleados una formación eficaz en materia de protección de datos, obtienen una mejor comprensión de los siguientes conceptos:
- Reglas de privacidad para la información de identificación personal (PII)
- Procesamiento seguro de datos
- Manejo seguro de datos
- Manejo de datos de terceros
- Leyes de protección de datos
- Normativas de cumplimiento
Con el conocimiento de los protocolos, las leyes y las reglamentaciones en torno a los datos de su organización, sus empleados se vuelven más conscientes de lo importante que es protegerlos. Y, cuando agrega capacitación de concientización sobre seguridad cibernética, los empleados están mejor equipados para manejar posibles riesgos y amenazas internos y externos que pueden conducir a un ataque cibernético y una violación de datos.
8 mejores prácticas para la formación en protección de datos
La implementación de un programa de capacitación en protección de datos requiere un enfoque bien planificado y coordinado que fomente la colaboración entre departamentos y promueva la productividad de los empleados. Siga estas ocho mejores prácticas al implementar la capacitación en protección de datos.
1. Abordar los requisitos de cumplimiento del gobierno y la industria
A medida que la privacidad del consumidor se vio cada vez más amenazada por las filtraciones de datos como resultado de prácticas de seguridad y manejo de datos deficientes, los gobiernos presionaron por regulaciones más estrictas para proteger a su gente. Estas regulaciones han resultado en la creación de estándares bien conocidos, que incluyen:
- Reglamento General de Protección de Datos (RGPD)
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
Cada organismo regulador tiene sus propios criterios que las empresas deben seguir para evitar enfrentarse a multas y sanciones, especialmente cuando se produce una filtración de datos. Para asegurarse de que su empresa cumpla con los estándares de la industria que se relacionan con su negocio, incluya capacitación sobre las regulaciones que debe seguir su empresa y las auditorías que debe pasar.
2. Revise la estrategia de seguridad de su centro de datos
Cuantas más capas tenga la estrategia de seguridad de su centro de datos, mejor protegerá la información confidencial que contiene. Pero esas capas pueden ser difíciles de entender para los empleados. Por lo tanto, revise la estrategia de seguridad del centro de datos con sus empleados, cubriendo temas como:
- Acceso físico al centro de datos
- Prácticas de manejo de datos
- Documentación, seguimiento y revisión de activos de datos
- Seguridad de la red
- Actualizaciones y parches de hardware y software
- Procedimientos de copia de seguridad y restauración
Documente todas las políticas para que los empleados puedan consultarlas y saber qué se espera para mantener la seguridad de su centro de datos.
3. Revisar los protocolos de seguridad de los datos personales
Dado que los empleados utilizan varias aplicaciones SaaS a diario, tienden a elegir una contraseña única, fácil de recordar pero pirateable. El problema con ese enfoque es el riesgo para la seguridad de su empresa.
La protección de datos personales requiere estrictos protocolos de seguridad y conciencia proactiva. Sin los protocolos adecuados implementados, los piratas informáticos pueden obtener acceso a sus sistemas, redes y datos confidenciales de la organización y los empleados mediante ataques de fuerza bruta y campañas de ingeniería social.
Por lo tanto, incluya los protocolos de su organización para la protección de datos personales , que incluyen:
- Requisitos para establecer y cambiar contraseñas
- uso compartido de credenciales
- Inicio de sesión único (SSO)
- Uso de autenticación multifactor (MFA) o inicio de sesión sin contraseña
- Códigos de seguridad
Al incluir estos protocolos en su programa de capacitación en protección de datos, sus empleados comprenden las prácticas requeridas para garantizar la privacidad de los datos y la protección de sus propios datos, los datos de su empresa y los datos de sus clientes.
4. Explicar las políticas de la cadena de suministro
Los ciberataques a la cadena de suministro existen desde hace décadas, pero se han disparado en los últimos 10 años. A fines de 2020, ocurrió uno de los incidentes más notables, el ataque a la cadena de suministro de SolarWinds, en el que una vulnerabilidad de un tercero permitió a los piratas informáticos infiltrarse en organizaciones de Fortune 500 y organismos gubernamentales de EE. UU.
Para evitar una violación de datos que provenga de su cadena de suministro, incluya políticas de cadena de suministro como parte de su capacitación en protección de datos. Los temas que podría cubrir incluyen:
- Políticas para usar solo proveedores verificables y de buena reputación
- Prácticas de gestión de riesgos de la cadena de suministro
- Capacitación en concientización sobre ciberseguridad
- Evaluaciones de nivel de riesgo para proveedores externos
- Seguridad de la cadena de suministro de software de extremo a extremo
Al ayudar a los empleados a comprender lo que necesitan saber y hacer cuando trabajan con la cadena de suministro, estarán mejor preparados para enfrentar un ataque de una manera inteligente, estratégica y segura.
5. Discutir la evaluación de riesgos de ciberseguridad
La mayoría de las regulaciones de privacidad y protección de datos requieren que las empresas realicen evaluaciones de riesgos de ciberseguridad con regularidad. Estas evaluaciones ayudan a identificar los activos corporativos que pueden verse afectados por una brecha de seguridad y qué tan bien pueden protegerlos sus controles de acceso.
Como parte de su programa de capacitación, asegúrese de que los empleados comprendan la importancia de las evaluaciones de riesgos de ciberseguridad. Explique los hallazgos de los informes para ayudarlos a comprender dónde tiene vulnerabilidades su organización y cómo pueden ser más eficaces para protegerlas.
6. Detallar los protocolos de notificación de infracciones
Todas las regulaciones de privacidad de datos actuales requieren que los procesadores de datos informen la violación lo antes posible y notifiquen a todas las víctimas sobre el estado de su información personal. Por ejemplo, GDPR requiere que las organizaciones respondan a las violaciones de datos dentro de las 72 horas y notifiquen a la autoridad supervisora pertinente con toda la documentación relacionada. Lo mismo se aplica a HIPAA, que hace hincapié en notificar a las víctimas directamente. Según las normas que se apliquen a su organización, asegúrese de que los empleados conozcan los procedimientos a seguir cuando se produzca una infracción.
Además, asegúrese de que los empleados conozcan los protocolos internos que deben seguir después de una violación de datos. Por ejemplo, puede hacer que todos los empleados cambien sus contraseñas. Los protocolos pueden variar según la función, el equipo y el departamento , así que asegúrese de que todos sepan qué hacer y a quién contactar si tienen preguntas. Puede designar a su oficial de protección de datos para establecer estos protocolos y actualizarlos regularmente.
7. Ofrezca capacitación en simulación de phishing en el flujo de trabajo
Phishing y smishing son términos con los que la mayoría de la gente está familiarizada en teoría, pero tal vez no tanto en la práctica. Cree conciencia a través de la capacitación en simulación de phishing como el primer paso para combatir los ataques de phishing.
La capacitación práctica que brindan las simulaciones de phishing ha demostrado su eficacia en la forma en que los empleados aprenden y reaccionan ante las amenazas de phishing. Las simulaciones de phishing de la vida real se pueden implementar automáticamente en el flujo de trabajo de sus empleados. Cuando se combinan con estadísticas e información de participación en tiempo real, los directores de seguridad de la información (CISO) y los equipos de seguridad pueden determinar el curso de acción correcto que deben tomar los empleados a continuación.
8. Proporcione capacitación de concientización sobre seguridad para todos los empleados
Cada año, los ciberdelincuentes utilizan técnicas más sofisticadas que el año anterior. Para mantenerse al día con sus formas traviesas y en constante cambio, mantenga su capacitación en protección de datos al tanto de las amenazas y tendencias de piratería para que los empleados puedan estar al tanto de ellas y responder con confianza para prevenirlas.
Proporcione capacitación de concientización sobre seguridad a intervalos regulares mediante el uso de contenido personalizable de tamaño reducido. El contenido debe ser personalizable para adaptarse a los empleados por puesto de trabajo, equipo, departamento o ubicación geográfica. Al igual que con las simulaciones de phishing, use datos para medir el éxito de su programa de capacitación para saber qué empleados necesitan más capacitación o capacitación especializada y cuáles pueden avanzar al siguiente tema.
Comienza tu formación en protección de datos
La capacitación en protección de datos es más que repasar una lista de cosas que se deben y no se deben hacer sobre la privacidad de los datos. Se trata de asegurarse de cubrir todos los aspectos de la protección de datos según sea necesario para su organización y cada empleado. Asegúrese de que su programa de capacitación en protección de datos comience con las ocho mejores prácticas descritas en esta publicación. Combínelo con una simulación de phishing y una plataforma de capacitación en concientización sobre seguridad cibernética respaldada por aprendizaje automático y potenciada por conocimientos de datos. Comience su programa de capacitación en protección de datos con el pie derecho en compañía de ICE.
