Por: Bret Arsenault, vicepresidente corporativo y director de seguridad en Microsoft.
El panorama de riesgos para las organizaciones ha cambiado de manera significativa en los últimos años. Se espera que la cantidad de datos capturados, copiados y consumidos crezca a más de 180 zetabytes hasta 2025.1 Las formas tradicionales de identificar y mitigar los riesgos no siempre funcionan. A nivel histórico, las organizaciones se han centrado en las amenazas externas; sin embargo, los riesgos internos de la organización pueden ser frecuentes y dañinos por igual. Estos riesgos internos incluyen datos desprotegidos y no gobernados, intercambio excesivo de datos accidental o intencional, así como los riesgos de no cumplir con las regulaciones en constante cambio. Sin mencionar que, con más de 300 millones de personas que trabajan de forma remota, los datos se crean, acceden, comparten y almacenan fuera de los límites tradicionales de los negocios.
El núcleo de la misión de un equipo de seguridad es proteger los activos de la empresa, en especial sus datos. Una protección sólida de los datos requiere proteger los datos más confidenciales o críticos, evitar que esos datos salgan de la organización y administrar los riesgos potenciales dentro y fuera de su entorno.
Y administrar los riesgos internos puede ser un desafío porque requiere analizar millones de señales diarias para detectar acciones de usuarios que en potencia podría ser riesgosas y que pueden conducir a un incidente de seguridad de datos. Por ejemplo, ¿a qué archivos confidenciales comparten o acceden sus usuarios? ¿Los usuarios comparten archivos confidenciales a nivel externo? ¿Descargan archivos en dispositivos no aprobados o subiéndolos a ubicaciones no aprobadas? Mientras tanto, ustedes deben equilibrar los controles de seguridad y la productividad, y asegurarse de que la privacidad del usuario esté integrada en su programa.
Para ser efectivos al abordar los riesgos internos, es fundamental que las organizaciones comiencen a pensar en cómo y por qué deberían implementar una estrategia holística de protección de datos en toda su organización que abarque personas, procesos, capacitación y herramientas. En Microsoft, hicimos la transición de un enfoque fragmentado de administración de riesgos internos a uno en el que lo abordamos de manera integral al adoptar un enfoque más integral, obtener una mayor aceptación del liderazgo organizacional y asegurarnos de que la privacidad del usuario esté integrada desde el principio.
Después de nuestra propia transición, Microsoft quería comprender mejor cómo las organizaciones abordan la gestión de riesgos internos, en específico cómo algunos de estos equipos de seguridad y cumplimiento pensaban en la gestión de riesgos internos de manera integral. Hoy publicamos nuestro primer informe de Microsoft que aborda el riesgo interno de manera específica, «Creación de un programa integral de gestión de riesgos internos».
Este informe encargado por Microsoft presenta varios conocimientos nuevos sobre cómo las organizaciones pasan de un enfoque fragmentado de la gestión de riesgos internos a uno holístico, para abordar los riesgos potenciales desde múltiples lentes como parte de una estrategia de protección de datos más amplia, con la aceptación de liderazgo cruzado. Por ejemplo, descubrimos que más del 90 por ciento de las organizaciones holísticas creen que los controles de privacidad deben usarse en las primeras etapas de las investigaciones. Las organizaciones holísticas también obtienen una mayor participación en sus programas de riesgo de otros departamentos, como los equipos legales, de recursos humanos o de cumplimiento, lo cual es fundamental para construir una cultura de seguridad. Además, pusieron un mayor énfasis en la capacitación con un 92 por ciento de acuerdo en que «la capacitación y la educación son vitales para abordar y reducir de manera proactiva los riesgos internos», en comparación con el 50 por ciento de las organizaciones fragmentadas.
El informe también comparte las mejores prácticas para las organizaciones que se esfuerzan por abordar la gestión de riesgos internos de manera más holística y crear un programa que fomente la confianza, empodere a los usuarios y haga de la privacidad una prioridad.
Pueden leer el informe completo aquí.
Conozcan más
Conozcan más sobre Microsoft Purview.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Volumen de datos/información creados, capturados, copiados y consumidos en todo el mundo de 2010 a 2020, con pronósticos de 2021 a 2025, Statista. 8 de septiembre de 2022.
