Plantilla de evaluación del riesgo de los datos
Paso 1: Descubra los datos sensibles y clasifíquelos
| Qué hacer | Cómo hacerlo |
|---|---|
|
Defina sus datos sensibles |
Defina claramente qué tipo de datos se consideran sensibles para su organización. Puede incluir información de identificación personal (PII), datos financieros, historias clínicas, propiedad intelectual y planes de negocio confidenciales. |
|
Cree reglas de descubrimiento de datos |
Cree reglas para identificar patrones de datos, formatos o palabras clave específicos asociados a datos confidenciales. Utilice una combinación de expresiones regulares y coincidencias de palabras clave para crear reglas de descubrimiento de datos específicas para su organización. |
|
Identifique los activos de datos |
Analice su almacenamiento de datos para localizar instancias de datos confidenciales que coincidan con las reglas creadas en toda su organización. |
|
Clasifique los datos |
Una vez validados los datos descubiertos, etiquételos en función de su sensibilidad (como públicos, internos, confidenciales, restringidos, etc.) para priorizar los esfuerzos de protección. |
|
Asigne el flujo de datos |
Asigne el flujo de datos en toda la organización, empezando por la recopilación, el almacenamiento, el procesamiento y la transmisión de los datos. Esto garantiza que usted pueda tener transparencia en toda la organización. |
Paso 2: Identifique amenazas y vulnerabilidades
| Qué hacer | Cómo hacerlo |
|---|---|
|
Identifique posibles amenazas |
Enumere las amenazas internas y externas más comunes a las que su organización puede enfrentarse, como el malware, el phishing, las amenazas internas, las amenazas persistentes avanzadas (APT) y el acceso no autorizado. |
|
Identifique vulnerabilidades potenciales |
Identifique y evalúe las vulnerabilidades del hardware, el software y las redes de la organización. |
Paso 3: Evalúe y analice los riesgos
| Qué hacer | Cómo hacerlo |
|---|---|
|
Cree una matriz de riesgos |
Formule una matriz de riesgos y asigne calificaciones de riesgo a las distintas amenazas y vulnerabilidades en función de su probabilidad de ocurrencia y del impacto potencial sobre los datos de su organización. |
|
Evalúe las deficiencias de los controles de seguridad actuales |
Evalúe los controles de seguridad existentes, como firewalls, cifrado, controles de acceso y sistemas de detección de intrusos. Identifique las brechas entre los controles actuales y las mejores prácticas. |
Paso 4: Aplique estrategias de mitigación
| Qué hacer | Cómo hacerlo |
|---|---|
|
Elabore un plan de respuesta a incidentes |
Cree y ponga a prueba un plan de respuesta a incidentes para abordar de forma efectiva las violaciones de la seguridad de los datos y los incidentes de ciberseguridad. |
|
Gestione los controles de acceso |
Garantice que existan controles de acceso adecuados, limitando el acceso a los datos en función de los roles y responsabilidades del cargo. |
|
Cifre sus datos |
Implemente el cifrado a los datos en reposo, en tránsito y en uso para impedir el acceso no autorizado. |
|
Diseñe la capacitación en ciberseguridad para los empleados |
Imparta capacitación periódica de concienciación sobre ciberseguridad a los empleados para promover las mejores prácticas y reducir los riesgos relacionados con los humanos. |
|
Establezca un plan de copia de seguridad y recuperación de datos |
Establezca una estrategia de copia de seguridad de datos 3-2-1 para asegurarse de que los datos estén protegidos y disponibles en caso de violación de seguridad. |
|
Actualice los parches de seguridad y el software |
Mantenga un sólido proceso de gestión de parches para garantizar que los sistemas y el software estén actualizados. |
|
Manténgase al día sobre los requisitos de cumplimiento |
Revise las normativas de cumplimiento pertinentes para su organización y asegúrese de que sus medidas de ciberseguridad las cumplan adecuadamente. |
|
Revise los pasos de su evaluación de riesgos y siga adaptándolos |
Realice auditorías y revisiones periódicas de su proceso de evaluación del riesgo de los datos y realice los ajustes necesarios en función de la evolución de las amenazas y la tecnología. |
Descargo de responsabilidad: Esta lista de control se facilita únicamente con fines informativos y no debe considerarse asesoramiento jurídico. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, en cuanto a la eficacia de la información contenida en este material.
Cómo ManageEngine DataSecurity Plus puede ayudarle a agilizar la evaluación del riesgo de los datos
Con DataSecurity Plus puede descubrir fácilmente datos sensibles en su almacenamiento de datos, clasificarlos en función de los niveles de sensibilidad y analizar la propiedad y los permisos de los archivos. El módulo de Análisis de Riesgos de DataSecurity Plus puede:
- Analizar en busca de datos confidenciales en sus repositorios de datos utilizando reglas de descubrimiento de datos predeterminadas y personalizadas de expresiones regulares y coincidencias de palabras clave, con un impacto mínimo en su productividad.
- Crear políticas específicas de cumplimiento para descubrir rápidamente datos confidenciales y comprobar si están suficientemente protegidos, según los requisitos.
- Crear extensos perfiles de clasificación para etiquetar archivos en función de los niveles de sensibilidad.
- Configurar alertas para detectar datos que infrinjan las políticas de almacenamiento de datos confidenciales y ejecutar scripts personalizados para corregir dichas infracciones.