Con la mayoría de la fuerza laboral adoptando una rutina de trabajo remoto, mantener el funcionamiento normal de la red y garantizar el cumplimiento de los estándares de la industria se convirtió en un gran desafío. Cuando los empleados trabajan de forma remota, es clave garantizar la integridad de los datos y las políticas internas para proteger su red de las brechas de seguridad informática.
Causas de las infracciones de compliance
Las verificaciones de compliance garantizan que una organización cumpla con las leyes y regulaciones que se le aplican. El verdadero impacto de una infracción de cumplimiento es complejo y depende de muchas variables. Por otro lado, las sanciones por infracciones de cumplimiento son graves y, en ocasiones, conllevan graves consecuencias legales.
Conozca las cuatro causas principales de infracciones de compliance de TI:
1. Robo de datos de tarjetas de crédito
En la última década, las infracciones al compliance de PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) le han costado a cientos de empresas millones de dólares en multas. Las causas principales son las vulnerabilidades de acceso remoto, los estándares de configuración inadecuados y la negligencia de la administración para mantener una red segura.
Según los informes, América Latina se está convirtiendo en un semillero de robos de identidad y ataques de malware. Se dice que Argentina, Brasil, Colombia, México y Perú son los cinco países latinoamericanos más afectados por los ciberdelincuentes y la distribución de malware. Incluso una cadena de supermercados a pequeña escala a la que acceden miles de clientes a diario podría ser un punto de acceso peligroso para la infiltración de malware destinado a acceder a los datos de las tarjetas de crédito de los clientes. Dichas infracciones pueden revelar información personal y financiera de los clientes, poniéndolos en riesgo. Exigir una autenticación simple de dos factores al acceder a los datos del cliente y restringir el acceso a dichos datos solo a los empleados autorizados evitará estos riesgos.
2. Error contable interno
La adhesión a la Ley Sarbanes-Oxley (SOX) es obligatoria para las empresas extranjeras que cotizan en bolsa y hacen negocios en los Estados Unidos. Para las organizaciones de TI, las auditorías requieren registros detallados sobre seguridad, accesibilidad, administración de cambios y respaldo de datos.
Se debe garantizar la integridad de los datos comprobando que los datos recibidos de otro dispositivo no hayan sido manipulados por terceros. También es importante mantener registros adecuados, necesarios para las auditorías.
3. Datos personales
Cada organización debe asegurarse de que la información personal de sus empleados y clientes se maneje y procese de la manera más segura posible. Por ejemplo, en Argentina la Ley de Protección de Datos Personales obliga a las organizaciones a manipular con extrema cautela los datos privados de usuarios o colaboradores. Además, estas compañías deben cumplir con todos los parámetros legales de registro y renovación relacionados con la información personal, la retención y el archivo de datos.
Adherirse a tales políticas de cumplimiento podría resultar complicado. Sin embargo, esto se puede manejar con facilidad si la organización tiene una red segura y una estructura adecuada para monitorear todas las políticas de cumplimiento, informes regulatorios y registros con regularidad.
4. Políticas internas para proveedores externos
Muchas organizaciones confían en proveedores externos para cumplir con los requisitos comerciales. Por ejemplo, es necesaria una plataforma de videollamadas o una aplicación de conferencias online para realizar reuniones y seminarios web. Estos proveedores externos tendrán acceso a la información de los empleados o clientes de una organización. Si el servicio de terceros hace un mal uso de esos datos, sería una violación de la confianza del cliente y podría dar lugar a una violación de datos.
Es muy importante asegurarse de que cualquier tercero con el que trabaje su organización cumpla con las políticas necesarias. Elabore pautas que estén alineadas con sus políticas internas de intercambio de datos y asegúrese de que los proveedores de servicios las cumplan.
¿Cómo el trabajo remoto pone en jaque el compliance?
La pandemia de COVID-19 ha aumentado el riesgo de infracciones de compliance, ya que los empleados utilizan sus propios dispositivos para acceder a documentos de trabajo confidenciales. Aparte de esto, el modelo de trabajo remoto también ha obligado a los administradores de red a realizar cambios frecuentes en las configuraciones y las reglas de firewall para adaptarse a todos los requisitos comerciales.
Un cambio en una configuración o en una regla podría generar vulnerabilidades graves y provocar una infracción de cumplimiento. Para evitarlo, los administradores de red deben utilizar herramientas que adviertan sobre el impacto de un cambio en una configuración o regla.
A continuación mencionamos las mejores prácticas para cumplir con las políticas específicas de la industria, automatizar las auditorías de compliance y mantener la red completamente segura en un entorno de trabajo remoto.
- Ejecute comprobaciones periódicas para las configuraciones respaldadas.
- Cree políticas de cumplimiento personalizadas basadas en condiciones específicas y, si es posible, automatice las verificaciones.
- Programe copias de seguridad de la configuración del dispositivo, realice un seguimiento de la actividad del usuario y detecte cambios en su red.
- Analice el uso y la eficacia de las reglas de firewall de su organización y realice los ajustes necesarios para un rendimiento óptimo.
- Implemente controles de acceso basados en roles.
- Programe simulacros de auditorías de seguridad.
A medida que trabajar desde casa se consolida aún más como una forma de operar de la mayoría de las compañías, es cada vez más importante protegerse de los peligros asociados. Una forma de hacerlo es implementar una herramienta de administración de red inteligente para cuidar la seguridad de la red y todas las demás necesidades comerciales, incluido el cumplimiento y el rendimiento de la red.
