GOBIERNO TI | Noticias | 17 MAY 2018

Los cinco peores dolores de cabeza de los departamentos de TI y cómo abordarlos

Los expertos de la industria discuten qué significan las nuevas regulaciones sobre datos y tecnología para las organizaciones y lo que las TI pueden hacer para mitigar los problemas de seguridad y cumplimiento, tanto antiguos como nuevos.
espacio de trabajo
jennifer schiff

¿Cuáles son los principales problemas relacionados con el cumplimiento que enfrentan las organizaciones hoy en día? CIO.com encuestó a docenas de expertos en TI, cumplimiento y seguridad para obtener su opinión. Los siguientes son los cinco principales que mencionaron, así como sugerencias sobre lo que los líderes de TI pueden y deben hacer para garantizar que sus organizaciones cumplan con las regulaciones gubernamentales y de la industria.

BYOD
"Los dispositivos móviles personales  ... crean vulnerabilidades de seguridad", dice Lisa Hawke, vicepresidente de seguridad y cumplimiento en Everlaw, un proveedor de software de descubrimiento electrónico. Pero las organizaciones "pueden mitigar este problema mediante una fuerte política de traer su propio dispositivo respaldada por controles técnicos". Los protocolos de administración de dispositivos móviles, como Google Mobile Device Management, son clave para la supervisión en esta área porque ofrecen la capacidad de eliminar de forma remota el acceso a las cuentas seleccionadas o borrar un dispositivo ".

Además, los gerentes pueden evitar que los datos críticos se "comprometan [perdidos o robados] mediante la aplicación de contraseñas de bloqueo del dispositivo, cuanto más, mejor", dice ella. Y deberían "reemplazar los SMS con un método basado en una sola contraseña y basado en el tiempo, como Google Authenticator".

Gestión de software (actualizaciones y parches)
Mantenerse al día con las actualizaciones de software y parches de software existente cuando se detectan vulnerabilidades es otro problema importante para las organizaciones de TI.

Conclusión: los gerentes de TI deben asegurarse de que sus organizaciones estén al día con las actualizaciones de software y corregir inmediatamente cualquier vulnerabilidad conocida.

GDPR
"La amplia regulación de privacidad de Europa, el Reglamento General de Protección de Datos, entrará en vigencia el 25 de mayo de 2018 y va más allá de la seguridad de los datos sobre cómo una organización utiliza datos y respeta la privacidad individual", dice el abogado Daniel L. Farris, presidente del grupo tecnológico en la firma de abogados Fox Rothschild LLP. "Es omnipresente, afecta a toda la empresa y [exigirá] una gestión / supervisión activa de los proveedores de terceros.

Para ayudar a abordar el GDPR, "comience a documentar el procesamiento de datos y el riesgo resultante, incluidos los derechos aplicables del interesado, si aún no lo ha hecho", dice Hawke. "El Artículo 30 de GDPR requiere que todas las organizaciones sujetas a la regulación mantengan un registro de las actividades de procesamiento de datos". Sin embargo, hay herramientas gratuitas que pueden ayudar a las organizaciones de guía.

EDI / gestión de proveedores
"Un alcalde La vulnerabilidad de muchas empresas proviene de Intercambio Electrónico de Datos (EDI) y la integración de sistemas de proveedores ", dice Farris. "Un informe de 2017 de Soha Systems indicó que hasta el 63% de todas las infracciones de datos informadas se originaron directa o indirectamente de proveedores externos. Algunas de las infracciones de datos más conocidas, desde Target (HVAC) hasta Home Depot (software POS en dispositivos portátiles) hasta Philips (procesador de nómina), se han originado como infracciones en un proveedor externo. Administrar no solo la seguridad de la información del proveedor sino también el cumplimiento del proveedor con las leyes de privacidad es una gran tarea y un importante desafío de cumplimiento.

"IoT"

Con la proliferación del internet de las cosas (IoT), hay un crecimiento explosivo en el número de puntos finales y dispositivos interconectados. Hasta la fecha, los estándares de seguridad de IoT han quedado rezagados, creando un número potencialmente grande de nuevas vulnerabilidades en las redes de las organizaciones. Esta convergencia físico-digital se está viendo en casi todos los sectores, incluidos los servicios financieros, minoristas, alimentos y bebidas, industrial, energía, petróleo / gas, automotriz, transporte y empresas de servicios públicos. A diferencia de otras amenazas a la red de una organización, punto final de IoT las vulnerabilidades en última instancia podrían conducir a más que un daño financiero o de reputación, pero un daño físico real a las personas. Para asegurarse de que los sistemas de IoT en la empresa cumplan totalmente con las normas de seguridad, los CIO deben programar pruebas anuales de penetración. Esta actividad [debería] realizarse con frecuencia en caso de que haya cambios en una arquitectura IoT. 

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios