A medida que aumenta el uso organizacional de herramientas de comunicación para compartir datos relevantes con proveedores y socios externos, la falta de atención prestada a la seguridad está elevando los niveles de riesgo, según un estudio global de 781 profesionales de TI, cibernética y de riesgo y cumplimiento, 29% de los cuales provienen de geografías de EMEA, y fueron realizados para Kiteworks, un especialista en el campo. En su estudio, el informe de cumplimiento y privacidad de las comunicaciones de contenido sensible Kiteworks 2023, el proveedor reveló evidencia de “graves lagunas” en las políticas de gestión de derechos digitales (DRM) en esta área que están exponiendo a las organizaciones a problemas. En particular, muchos carecen de herramientas para rastrear, controlar y proteger los datos que se envían o comparten con terceros, lo que crea un riesgo significativo de acceso no autorizado, ya sea malicioso o accidental. «Este… informe acentúa la necesidad de una gestión de derechos digitales que aplique confianza cero definida por contenido en todos los departamentos y en todos los datos confidenciales a los que se accede, envía, comparte y transfiere a terceros», dijo Frank Balonis, CISO y vicepresidente senior. presidente de operaciones de Kiteworks. “Esto no se puede hacer poco a poco, sino que requiere un seguimiento y control unificados al nivel de los usuarios individuales. El informe también destaca cómo las organizaciones están utilizando marcos de seguridad cibernética como NIST CSF. [the National Institute of Standards and Technology’s Cyber Security Framework] para gestionar sus riesgos de seguridad y cumplimiento. «Esto corrobora la dirección que ha tomado Kiteworks para alinear nuestra Red de Contenido Privado con NIST CSF, lo que crea una gobernanza de gestión de derechos digitales más integral», añadió. Demasiadas herramientas Una gran parte del problema parecería ser la cantidad de sistemas y herramientas utilizados por las organizaciones para rastrear, controlar y proteger sus comunicaciones con terceros: el 84% de los encuestados dijo que utilizaba más de cuatro de estos servicios, y el 85% diciendo que habían experimentado cuatro o más vulnerabilidades de comunicación de contenido sensible en los últimos 12 meses. Una proporción ligeramente menor de encuestados, aproximadamente el 75%, podría admitir que necesitaban algún nivel de mejora en la forma en que miden el riesgo relacionado con el intercambio de contenido sensible. En la otra cara de la moneda, la encuesta encontró que menos del 25% de los encuestados dijeron que administraban o restringían el acceso de terceros a sus datos confidenciales. Por lo tanto, dijo Kiteworks, las organizaciones necesitan una «renovación» en lo que respecta a DRM, y el 42% de los encuestados coincidieron en que necesitaban un enfoque completamente nuevo, o al menos una mejora significativa, en esta área. En particular, los encuestados querían tener la capacidad de emplear políticas de cumplimiento y seguridad a nivel de usuario, rol o clase de contenido, en lugar de permitir que las personas clasificaran manualmente cada activo a medida que avanzaban. La PII es la mayor preocupación Cuando se les pidió que calificaran el tipo de contenido sensible que plantea los mayores niveles de cumplimiento y riesgos de seguridad, los encuestados, como era de esperar, dijeron que la información de identificación personal (PII) encabezaba la lista, por encima de la propiedad intelectual (IP), los documentos legales y la información sobre fusiones y adquisiciones, documentos financieros y otro tipo de contenidos. Kiteworks dijo que esta preocupación podría estar firmemente correlacionada con la lista cada vez mayor de leyes y regulaciones de privacidad de datos, que van desde el Reglamento General de Protección de Datos (GDPR) en Europa y el Reino Unido, hasta el enfoque más gradual que se está adoptando en los EE. UU. Las leyes están entrando en vigor ahora mismo en Colorado, Connecticut, Utah y Virginia, y cuatro estados más planean implementar dichas directivas en los próximos dos años. Cuando se les preguntó qué canales de comunicación representaban el mayor riesgo, los encuestados identificaron el correo electrónico y los formularios web como los más peligrosos. Sin embargo, aquí Kiteworks encontró actitudes diferentes entre verticales: las organizaciones que operan en energía y servicios públicos están más preocupadas por los servicios propietarios de intercambio de archivos, las organizaciones de servicios financieros se preocupan por los formularios web y el correo electrónico es visto como el mayor riesgo en tecnología, seguridad y defensa. Los encuestados tendieron a estar de acuerdo en que el alojamiento en la nube multiinquilino de dichas herramientas era una preocupación primordial, dada la capacidad de los actores de amenazas para explotar una aplicación o conjunto de datos y moverse lateralmente a otros inquilinos. Cuatro pasos para reducir el riesgo Al resumir su extenso informe, Kiteworks describió cuatro pasos que las organizaciones pueden intentar tomar ahora mismo para reducir el riesgo relacionado con el intercambio de datos: Adoptar un enfoque más holístico para el cumplimiento, especialmente para aquellas en los EE. UU., donde las organizaciones estarían Es mejor no centrarse en un enfoque de casillas de verificación para estados individuales, sino más bien establecer mejores prácticas universales que se adhieran a todos ellos, como las descritas por el NIST CSF; Adoptar un enfoque más holístico sobre cómo las organizaciones categorizan los datos, hacerlo de una manera más granular y hacer que estos silos estén fácilmente disponibles para quienes realmente necesitan acceder a ellos, mientras los bloquean para todos los demás; A continuación de este paso, se necesitan mejoras en las prácticas de gestión de riesgos internos para protegerse contra divulgaciones maliciosas y accidentales de buena fe; Finalmente, implementar protecciones cibernéticas más integrales, a medida que las bandas criminales y las APT de los estados nacionales reconozcan el valor del contenido sensible y aumenten su focalización en las herramientas utilizadas para compartirlo, comprender y examinar las características de seguridad de estas herramientas será cada vez más crítico.

Source link