Comprensión de la seguridad de la información y la gestión de riesgos

Proteja la información importante con estrategias de gestión de riesgos Aprenda cómo salvaguardar datos confidenciales y mitigar riesgos potenciales.

Este extracto editado proviene de Cómo utilizar los datos del cliente de Sachiko Scheuing ©2024 y se reproduce con permiso de Kogan Page Ltd.

Tengo una información extremadamente confidencial en una hoja de papel en particular. Este papel de tamaño A4 contiene una lista de regalos de Navidad que planeo darles a los miembros de mi familia.

Para asegurarme de que nadie tenga acceso a esta información, la he escondido en la oficina de mi casa, en el armario al lado de mi escritorio. Allí encontrará un diccionario de inglés bastante completo.

Cuando abras la página donde aparece “Navidad”, encontrarás mi preciosa lista, cuidadosamente doblada en dos.

¿Pero qué pasa si mis hijos o mi media naranja vienen a buscar algo en un diccionario analógico? Tengo un idioma secreto llamado japonés.

My family might find that piece of paper, but all they will see will be タータンチェックの野球帽 and 腕時計, which are basically hieroglyphs to them.

Gracias a esto mi familia disfruta de maravillosos momentos intercambiando regalos cada Navidad. Sólo escribir sobre esto me hace sonreír, imaginando las caras de sorpresa y las carcajadas, rodeados por el aroma verde del árbol de Navidad y el obligatorio vino caliente.

¡Esto me motiva a ocultar aún más esta información tan sensible!

Analizaremos cómo las empresas y su departamento de marketing pueden proteger sus secretos y sus datos, para que ellos también puedan hacer sonreír a sus clientes.

Comprender la seguridad de la información

En algunos juegos, tienes esta “tarjeta para salir de la cárcel”. ¿Qué pasa si digo que el GDPR tiene algo similar?

Se llama seguridad de datos.

Las disposiciones del RGPD para la seguridad de los datos están en línea con el enfoque basado en el riesgo incorporado en la ley, donde se minimiza el riesgo y se otorga más flexibilidad a los controladores.

Por ejemplo, cuando los reguladores deciden sobre las multas, deben tomar las medidas de seguridad que las empresas han implementado para proteger los datos en consideración (ver Artículo 83(2)c del GDPR) (legislation.gov.uk, 2016). (see Article 83(2)c of GDPR) (legislation.gov.uk, 2016

Digamos que le roban su computadora portátil.

Si estaba cifrado, no es necesario que informe a sus clientes que hubo una violación de datos. No tener que informar a sus clientes salva la imagen de marca que su departamento de marketing ha estado construyendo durante años.

Ésta es una de las razones por las que la seguridad de los datos es una disciplina tan importante. Muchas organizaciones tienen un departamento de seguridad independiente y un director de seguridad de la información que dirige las áreas funcionales.

Aquellos especialistas en marketing que tuvieron incidentes de seguridad publicados por medios de comunicación deben saber cómo los colegas de seguridad pueden salvar vidas en momentos de necesidad.

Definición de estrategia de información

La palabra seguridad de datos no se encuentra en el artículo 4 del RGPD, el artículo donde se enumeran las definiciones. En cambio, la palabra “seguridad” aparece en el artículo 5, donde se describen las premisas básicas de la ley de protección de datos.

En otras palabras, la seguridad de los datos es uno de los principios fundamentales del RGPD, “integridad y confidencialidad”.

GDPR espera que las organizaciones garanticen la prevención del procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño de datos como uno de los puntos de partida para proteger los datos personales.

Los TOM deben implementarse con este fin para proteger la integridad y confidencialidad de los datos (Artículo 5 (f) GDPR) (legislation.gov.uk, 2016).

Fuera del RGPD, la seguridad de la información se define de la siguiente manera

La seguridad de la información es la salvaguardia de la información y los sistemas de información contra el acceso no autorizado, la interrupción, la modificación y la destrucción deliberados e involuntarios por parte de actores externos o internos. (Gartner, Inc., 2023)

La seguridad de la información son las tecnologías, políticas y prácticas que usted elige para ayudarle a mantener los datos seguros. (gov.uk, 2018)

Seguridad de la información: La protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de proporcionar confidencialidad, integridad y disponibilidad. (NIST, 2023)

Enfoque de la seguridad de la información

Así como los profesionales del marketing crearon marcos estratégicos (4P, 7P, 4C, etc.), la escuela de estrategia de seguridad de la información ha ideado marcos: la tríada de la CIA y la hexada parkeriana.

CIA significa Confidencialidad, Integridad y Disponibilidad.

Donn Parker, un consultor de seguridad, amplió posteriormente este marco con tres elementos más: utilidad, autenticidad y posesión.

A continuación se muestra una breve descripción de los seis aspectos de la Hexada Parkeriana (Bosworth et al, 2009).

Disponibilidad

La disponibilidad se refiere a la capacidad de la organización para acceder a los datos. Cuando, por ejemplo, hay una pérdida de energía y los especialistas en marketing no pueden acceder a los datos de los clientes, se considera un problema de disponibilidad.

El archivo está ahí, por lo que no es robado. Sin embargo, el comercializador no puede acceder temporalmente a los datos concretos.

Utilidad

La utilidad de la Hexada Parkeriana se relaciona con el problema de perder la utilidad de los datos. Por ejemplo, si un director de campaña pierde la clave de cifrado de los datos, los datos seguirán ahí y se podrá acceder a ellos.

Sin embargo, los datos no se pueden utilizar porque los correos electrónicos necesarios para realizar una campaña de correo electrónico están cifrados por lo que no sirven para nada.

Integridad

Mantener la integridad se refiere a evitar cambios no autorizados en los datos.

Por ejemplo, si un pasante del departamento de marketing elimina accidentalmente el campo «compré más de dos artículos» dentro del conjunto de datos, se trata de un incidente de seguridad relacionado con la integridad.

Si el administrador del pasante puede deshacer la eliminación del campo, entonces la integridad de los datos está intacta.

Normalmente, la integridad se mantiene asignando diferentes derechos de acceso, como acceso de solo lectura para pasantes y acceso de lectura y escritura para el gerente de marketing.

Autenticidad

La autenticidad se relaciona con la atribución de datos o información al propietario legítimo o al creador de esos datos o información.

Imagine una situación en la que su agencia de publicidad, que actúa como su proveedor de servicios de datos, recibe un correo electrónico falso que les indica que eliminen todos los datos de sus clientes.

La agencia podría pensar que se trata de una instrucción genuina de su empresa y ejecutar la orden. Se trata entonces de un problema de autenticidad.

Confidencialidad

Cuando alguien no autorizado obtiene acceso a un archivo analítico de marketing en particular, se está violando la confidencialidad.

Posesión

El Parkerian Hexad utiliza el término posesión para describir situaciones en las que se roban datos o información.

Por ejemplo, un empleado malévolo del departamento de marketing descarga toda la información de contacto de ventas a un dispositivo móvil y luego la elimina de la red. Este es un problema de posesión.

Gestión de riesgos

Además de comprender los problemas a los que se enfrenta, al utilizar Parkerian Hexad, su organización debe conocer los posibles riesgos de seguridad para el negocio.

Andress sugiere un proceso de gestión de riesgos útil y genérico de cinco pasos, para una variedad de situaciones (Andress, 2019).

Paso 1: identificar los activos

Antes de que su organización pueda comenzar a gestionar los riesgos de su departamento de marketing, debe mapear todos los activos de datos que pertenecen a su departamento de marketing.

Al hacerlo, se deben contabilizar todos los datos, algunos distribuidos en diferentes sistemas o confiados a proveedores de servicios.

Una vez completado este ejercicio, su departamento de marketing podrá determinar qué archivos de datos son los más críticos. Para este ejercicio se puede aprovechar RoPA, con todos los procesos de datos personales planificados.

Paso 2: identificar amenazas

Para todos los archivos y procesos de datos identificados en el paso anterior, se determinan las amenazas potenciales. Esto puede significar realizar una sesión de lluvia de ideas con los especialistas en marketing y los departamentos de seguridad y protección de datos para revisar los datos y procesos uno por uno.

La Hexada Parkeriana de la sección anterior puede ser de gran ayuda para guiar estas sesiones. También será útil identificar los datos y procesos más críticos durante este ejercicio.

Paso 3: evaluar las vulnerabilidades

En este paso, para cada uso de datos que surgió en el Paso 2, se identifican las amenazas relevantes.

Al hacerlo, se consideran el contexto de operación de su organización, los productos y servicios vendidos, las relaciones con los proveedores y la ubicación física de las instalaciones de la empresa.

Paso 4: evaluar las vulnerabilidades

En este paso, se comparan las amenazas y vulnerabilidades de cada dato y proceso y se les asignan niveles de riesgo.

Se considerará que las vulnerabilidades sin amenazas correspondientes o las amenazas sin vulnerabilidades asociadas no tienen ningún riesgo.

Paso 5: mitigar los riesgos

Para los riesgos que surgieron en el Paso 4, durante esta etapa se determinarán las medidas necesarias para evitar que ocurran.

Andress identifica tres tipos de controles que se pueden utilizar para este propósito El primer tipo de control, el control lógico, protege el entorno de TI para el procesamiento de los datos de sus clientes, como la protección con contraseña y la colocación de cortafuegos.

El segundo tipo de control es el control administrativo, que generalmente se implementa en forma de política de seguridad corporativa, que la organización puede hacer cumplir. El último tipo de control es el control físico.

Como sugiere el nombre, este tipo de control protege las instalaciones comerciales y utiliza herramientas como CCTV, puertas operadas con tarjeta, alarmas contra incendios y generadores de energía de respaldo.

Con el tiempo, los riesgos pueden cambiar.

Por ejemplo, su departamento de marketing puede trasladarse físicamente a un nuevo edificio, lo que cambiará las necesidades de seguridad física, o su empresa podría decidir migrar de un servidor físico a un servicio de alojamiento basado en la nube, lo que significa que los datos de sus clientes tendrán que trasladarse.

Ambas situaciones requieren el inicio de una nueva ronda del proceso de gestión de riesgos.

En general, es aconsejable revisar el proceso de gestión de riesgos periódicamente, digamos anualmente, para mantener a su empresa al tanto de todos los riesgos que conlleva su departamento de marketing y más allá.

Abordar la gestión de riesgos con tres líneas de defensa

El Instituto de Auditores Internos (IIA) estableció un modelo de gestión de riesgos denominado Tres Líneas de Defensa.

El modelo requiere tres roles internos: (1) el órgano de gobierno, con supervisión de la organización, (2) la alta dirección, que toma acciones de gestión de riesgos e informa al órgano de gobierno, y (3) auditoría interna, que proporciona garantía independiente.

Los elementos de las Tres Líneas de Defensa son (IIA, 2020): IIA, 2020)

Primera línea de defensa

Gestionar los riesgos asociados con las actividades operativas diarias. La alta dirección tiene la responsabilidad principal y se pone énfasis en las personas y la cultura.

La tarea de los gerentes de marketing aquí es asegurarse de que su departamento esté consciente de los riesgos de protección de datos, incluidos los riesgos de seguridad, y siga las políticas corporativas relevantes.

Segunda línea de defensa

Identificar riesgos en la operación diaria del negocio. Los equipos de seguridad, protección de datos y gestión de riesgos llevan a cabo actividades de seguimiento.

La alta dirección, incluido el CMO, es en última instancia responsable de esta línea de defensa. Una segunda línea de defensa que funcione bien requiere una buena cooperación entre los equipos de marketing y seguridad, protección de datos y gestión de riesgos.

En la práctica, significaría comprender la importancia de la auditoría a nivel operativo y brindar información al equipo de seguridad, incluso cuando existen otros plazos y problemas comerciales apremiantes.

Tercera línea de defensa

Proporcionar garantía independiente sobre la gestión de riesgos mediante la evaluación de la primera y segunda línea de defensa. Los equipos de auditoría interna corporativa independientes suelen tener esta función.

También en este caso se pedirá la colaboración del departamento de marketing durante las auditorías. Los resultados de aseguramiento reportados al órgano de gobierno informan las acciones comerciales estratégicas para el equipo de alta dirección.

Referencias

  • Andress, J (2019) Fundamentos de la seguridad de la información, No Starch Press, octubre de 2019.
  • Bosworth, S, Whyne, E y Kabay, M E (2009) Computer Security Handbook, 5.ª ed., Wiley, capítulo 3: Hacia un nuevo marco para la seguridad de la información, Donn B Parker
  • Gartner, Inc. (2023) Tecnología de la información: glosario de Gartner, www.gartner.com/en/information-technology/glossary/information-security (archivado en https://perma.cc/JP27-6CAN)
  • IIA (2020) Instituto de Auditores Internos (IIA), El modelo de las Tres Líneas del IIA, una actualización de las Tres Líneas de Defensa, julio de 2020, www.theiia.org/globalassets/documents/resources/the-iias-tres
  • Legislación.gov.uk (2016) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, 27 de abril de 2016, www.legislation.gov.uk/eur/2016/679/contents (archivado en https://
  • NIST (2023) Instituto Nacional de Estándares y Tecnología, Departamento de Comercio de EE. UU., Centro de recursos de seguridad informática, Laboratorio de tecnología de la información, glosario, actualizado el 28 de mayo de 2023, https://csrc.nist.gov/glossary/term/ information_security (archivado en nist.gov/glossary/term/non_repudiation (archivado en https://perma.cc/DJ4A-44N2)

Para leer el libro completo, los lectores de SEJ tienen un código de descuento exclusivo del 25% y envío gratuito a EE. UU. y Reino Unido. Utilice el código de promoción SEJ25 en koganpage.com aquí. koganpage.com here

Más recursos:

Imagen de portada: Paulo Bobita/Search Engine Journal

Leer el articulo original en Search Engine Journal.

¡Danos un Voto!

¿Tienes una pregunta?

Luis Narciso
Sobre SEO
(Posicionamiento Web)

Frank Fajardo
Sobre Diseño Web, Anuncios, Diseño y Redes Sociales