Prevención de la pérdida de datos DLP y eDiscovery

Prevención de la pérdida de datos DLP y eDiscovery

Más información sobre la prevención de la pérdida de datos (DLP) y el eDiscovery con Microsoft y Forsyte I.T. Solutions

El trabajo de protección de datos es cada vez más duro y los pequeños errores pueden costar miles de dólares a cualquier organización. ¿Qué medidas está tomando para proteger su organización?

Este blog cubrirá:

  • Amenazas a las que se enfrentan los centros educativos en caso de violación o pérdida de datos.
  • Cómo las herramientas de Microsoft, como la Prevención de Pérdida de Datos (DLP) y el eDiscovery, ayudan a superar estas amenazas y a salvar a su organización de todo tipo de obligaciones legales.

En primer lugar, entendamos cómo afecta la violación o el robo de datos a las instituciones educativas.

Las infracciones maliciosas y accidentales van en aumento y las instituciones educativas no son una excepción a estas amenazas.

Se ha vuelto bastante común que los padres/tutores, empleados y estudiantes presenten demandas contra instituciones y organizaciones educativas por violación de datos y privacidad.

Recientemente, los datos de millones de estudiantes en el Reino Unido fueron violados y se encontraron en manos de una empresa de apuestas.

¿Qué ocurrió después? Litigios masivos y padres demandando al instituto educativo por miles de dólares.

Sorprendido por las políticas de datos (prevención/protección) de las organizaciones educativas
Una encuesta reciente realizada en 2020 señalaba que sólo 19% de las organizaciones hacen un seguimiento del intercambio de datos entre los empleados. Las demás ni siquiera son conscientes o utilizan procesos manuales, lo que deja abierto el panorama de la vulnerabilidad. (Fuente: Netwrix - https://www.netwrix.com/download/collaterals/2020_data_risk_security_report.pdf)

La encuesta también reveló que sólo 4% de las instituciones educativas tienen un programa de retención de datos.

Según esta encuesta, "Las organizaciones educativas también adolecen de controles de acceso débiles. Una cuarta parte (24%) de ellas admite que concede derechos de acceso basándose únicamente en las solicitudes de los usuarios, y otras 22% dicen no saber cómo se conceden exactamente los derechos de acceso en sus organizaciones, el porcentaje más alto de todos los sectores. Para empeorar las cosas, 63% de las organizaciones educativas no revisan los permisos con regularidad."

¿Qué hace que el panorama sea aún más angustioso para las organizaciones educativas?
Con más productos/servicios de tecnología educativa en la vida de los estudiantes, resulta aún más difícil gestionar una cantidad de datos tan amplia y una pequeña filtración puede hacer mella en la reputación de las escuelas. Será difícil cuantificar la pérdida cuando los datos y la información sensible caigan en manos equivocadas. Por otra parte, todavía es un área de la ley en desarrollo, por lo que tener un ojo intenso de los abogados de acción colectiva puede invitar a demandas por una violación de datos, la pérdida de confianza y la pérdida de reputación. Sin duda, es un tema difícil y es muy importante asegurarse de que la defensa principal de su institución es sólida para estar protegido de las demandas que se disparan.

¿Qué puede hacer usted como CIO/CISO/responsable de la conformidad para proteger su organización educativa?
La mejor manera de empezar es establecer las políticas de prevención de la pérdida de datos basadas en las leyes de su estado para proteger los datos de los interesados.

Cada estado tiene una legislación diferente y usted puede empezar a trabajar en sus políticas de DLP (Prevención de Pérdida de Datos) junto con su asesor legal manteniéndolas sincronizadas con

>Expectativas de privacidad de los estudiantes,
>GLBA (Ley Gramm-Leach-Bliley),
>PPRA (Enmienda sobre la protección de los derechos de los alumnos)
>FERPA (Family Educational Rights and Privacy Act),
>Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS),
>Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA), etc.

Una vez que haya establecido sus políticas, es importante asegurarse de que se establezcan normas para estas políticas.

He aquí algunos aspectos importantes que hay que tener en cuenta a la hora de redactar la política de protección contra la pérdida de datos:

- Identifique la información sensible: Por ejemplo, los registros de salud de los estudiantes, los registros académicos de los estudiantes, la información financiera, cualquier otra información privada que idealmente debería compartirse sólo con sus padres/tutores, la información crítica del personal como los detalles de la cuenta bancaria, el SSN, etc.

- Evite que se comparta accidentalmente la información: Por ejemplo, puede evitar que se comparta accidentalmente información sensible fuera de su organización. Puede bloquear el acceso o bloquear el envío de correos electrónicos o restringir el intercambio de cierta información sólo dentro de un determinado departamento o miembros del grupo.

- Supervise y proteja la información sensible. Con la política de protección contra la pérdida de datos en su centro de cumplimiento y seguridad, ahora puede identificar, supervisar y proteger automáticamente los datos sensibles.

La interacción manual del cumplimiento es casi imposible con un mayor porcentaje de datos expuestos a vulnerabilidades y violaciones. Dado que el tiempo es esencial, no querrá pasar años desarrollando un sistema que puede quedar obsoleto con el tiempo. Es mejor aprovechar las herramientas que ayudan a toda la organización a cumplir con las políticas.

Sólo se puede confiar en la marca que respeta la privacidad y la seguridad del usuario.
Microsoft ofrece formación en Office 365 que puede ayudarle a implementar sus políticas de DLP (Prevención de Pérdida de Datos). Garantiza que las políticas que ha establecido se aplican y son seguidas por los usuarios de su instituto. Le proporciona un mayor control sobre los datos y reduce las posibilidades de que se produzca una filtración de datos, además de prepararle para cualquier otra obligación.

Echemos un vistazo a la macroestructura.

Cuando se utiliza Office 365, se puede:

> Crear múltiples políticas
> Definir reglas (Cada política puede tener varias reglas)
> Definir la acción cuando se cumplen los criterios de la regla (es decir, comprender el contenido así como el contexto para activar alertas, notificaciones o tomar otras acciones como implementar la restricción, el bloqueo, la desautorización, la captura de registros, etc.)
> Establezca estas políticas y reglas en diferentes canales, ya sea el sistema de chat o las aplicaciones de MS Office o One Drive, etc.

> Incluya/excluya fácilmente grupos que pueden ser su departamento completo o usuarios basados en la jerarquía. (Microsoft DLP ofrece la flexibilidad de personalizar según sus necesidades, hacer que el sistema sea robusto y escalable).

Para entender cómo se estructura una regla, analicemos la siguiente imagen.

Si se cumplen determinadas condiciones, el sistema emprende acciones con la opción de generar notificaciones al usuario.

Por ejemplo, si alguien envía por correo electrónico una información confidencial, como el SSN fuera de la organización, puede configurar la alerta para notificar al usuario y, al mismo tiempo, definir que esto se capture en los registros.

Este es un proceso en constante evolución y debe ser un esfuerzo participativo de toda la organización. Los usuarios deben tener la opción de anularlo si tiene sentido y, al final, garantizar que los responsables del cumplimiento tengan los informes necesarios para tomar otras decisiones basadas en datos.

Hay una gran cantidad de personalizaciones de nivel avanzado que se pueden hacer dentro del sistema para implementar y supervisar sus políticas.

Función proactiva de un responsable de cumplimiento en el centro educativo
Como responsable del cumplimiento, es muy importante:

> Comprenda los datos críticos que tiene en su centro educativo.
> Priorizar en función de la sensibilidad de los datos.

> Saber quién, cuándo, dónde y qué en cuanto a la accesibilidad de los datos, su intercambio, etc.

Si no tiene respuestas a estas preguntas o no tiene acceso para tomar decisiones basadas en datos y evaluaciones de políticas, está poniendo en riesgo a sus estudiantes y empleados.

Aquí es donde Microsoft eDiscovery entra en juego.

Su responsable de cumplimiento puede utilizar eDiscovery by Microsoft para buscar contenido en diferentes canales como chats, drive, sitios, buzón de correo, etc, e identificar, retener, exportar casos que puedan ser utilizados en demandas legales o como prueba.

También tiene la capacidad de gestionar su equipo legal y crear sus propios flujos de trabajo para las comunicaciones con los custodios del caso. Adoptar el mantenimiento de la información de E-discovery es esencial y necesario, pero a veces algunas organizaciones lo pasan por alto.

Sin embargo, el eDiscovery entre los administradores y los abogados de las escuelas puede conducir a planes productivos y mejorar las políticas relativas a la gestión de la información almacenada electrónicamente.

Conclusión

La prevención de la pérdida de datos contribuye en gran medida a salvar a su centro educativo de las demandas de los padres/tutores y de los empleados. Proteja su marca, proteja a sus estudiantes y proteja a sus empleados. Mantenga sus datos a salvo con las herramientas de Microsoft DLP y eDiscovery. 

Papel de Forsyte

Forsyte I.T. Solutions es un Microsoft Gold Partner que ayuda a grandes organizaciones e instituciones educativas a implementar herramientas de DLP y eDiscovery para proteger y asegurar los datos sensibles. Entendemos las complejidades que implica el sector educativo y trabajamos sin descanso para implementar las mejores prácticas de prevención de pérdida de datos para ayudar a salvaguardar contra las reclamaciones y demandas legales. 

Para obtener más información sobre cómo Forsyte ayuda a proteger contra el robo de datos o información sobre la concesión de licencias, por favor ponte en contacto con nuestro equipo. 

Agilice sus proyectos de TI con Forsyte.

Conéctese con nosotros en las redes sociales para ver noticias recientes y actualizaciones del sector.

Los comentarios están cerrados.
es_CRSpanish