[Transcripción del webcast] Comprensión de la gobernanza de la información, la privacidad de los datos y la exposición a la violación de datos

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: El 1 de diciembre de 2021, HayStackID compartió un webcast educativo diseñado para presentar y describir un marco para implementar y mejorar los programas de gobernanza de la información organizacional. La presentación, dirigida por un panel de expertos en ciberseguridad, gobernanza de la información y eDiscovery, destacó programas que, cuando se implementan adecuadamente, deberían garantizar la preparación ante ciberincidentes y ayudar a las organizaciones a demostrar medidas de seguridad razonables para los activos confidenciales.

Si bien toda la presentación grabada está disponible para su visualización bajo demanda, siempre que para su conveniencia sea una transcripción de la presentación.

[Transcripción del webcast] Comprensión de la gobernanza de la información, la privacidad de los datos y la exposición a la violación de datos

Presentadores expertos

+ Matthew Miller, vicepresidente sénior de gobernanza de la información y privacidad de datos, HayStackID

+ Ashish Prasad — Vicepresidente y Consejero General de HayStackID

+ Michael Sarlo, director de innovación y presidente de Servicios de Investigación Global, HayStackID

+ John Wilson, director de seguridad de la información y presidente de Forensics, HayStackID

Transcripción de la presentación

Introducción

Matthew Miller

Hola, y espero que tengas una buena semana. Mi nombre es Matt Miller y, en nombre de todo el equipo de HayStackID, me gustaría agradecerle por asistir a la presentación y debate de hoy titulada Gobernanza, privacidad y exposición: gobernanza de la información, privacidad de datos y exposición a violaciones de datos.

El webcast de hoy forma parte de la serie regular de presentaciones educativas de HayStackID para garantizar que los oyentes estén preparados de manera proactiva para lograr sus objetivos de ciberseguridad, gobernanza de la información y eDiscovery. Nuestros presentadores para el sitio web de hoy incluyen personas profundamente involucradas tanto en el mundo del descubrimiento cibernético como en el descubrimiento legal, algunos de los principales expertos en la materia de la industria en gobernanza, privacidad y descubrimiento, y todos tienen una amplia y actual experiencia en el apoyo de todo tipo de auditorías, investigaciones y litigios.

Así que, primero, permítanme presentarme como moderador y líder de presentación de hoy. Mi nombre es Matthew Miller y actualmente me desempeño como vicepresidente sénior de gobernanza de la información y privacidad de datos de HayStackID. Tengo experiencia en asuntos legales que pasaron a eDiscovery. Y he desempeñado numerosas funciones centradas en las IG, como ayudar a desarrollar conjuntamente la práctica de servicios de gobernanza de la información de Ernst and Young y desempeñarme como líder global de asesoramiento en gobernanza de la información en Consilio antes de pasar a HayStackID y establecer nuestra práctica líder de IG.

A continuación, permíteme presentarte a Mike Sarlo. Mike es nuestro director de innovación y presidente de los servicios de investigación global y descubrimiento cibernético de HayStackID. En su cargo, facilita la innovación y las operaciones relacionadas con la ciberseguridad, la ciencia forense digital y el descubrimiento electrónico en los EE. UU. y en el extranjero. También lidera el desarrollo y el diseño de procesos, protocolos y servicios para respaldar el descubrimiento y la revisión posteriores a la filtración de datos centrados en la ciberseguridad.

A continuación, también presentaré a John Wilson. John es nuestro director de seguridad de la información y presidente de análisis forense en HayStackID. En su cargo, John proporciona experiencia y servicios de testigos expertos para ayudar a las empresas a abordar diversos asuntos de detección forense digital y electrónica, incluidas las principales investigaciones, asegurando la preservación adecuada de los elementos de evidencia y la cadena de custodia. Desarrolla procesos y crea flujos de trabajo con regularidad, y lidera proyectos de implementación y servicios de mapeo de datos del RGPD para nuestros clientes, incluidas las principales instituciones financieras, las empresas Fortune 100 y la Ley Am 100. Su trabajo abarca algunos de los asuntos más importantes registrados, literalmente, en los Estados Unidos y en muchos de los 39 países diferentes en los que ha trabajado en casos en su interior.

Desafortunadamente, Ashish Prasad no se unirá a nosotros, pero quería que supieran que es nuestro vicepresidente y consejero general de HayStackID. Es uno de los principales expertos en eDiscovery en los Estados Unidos. Se desempeñó como socio de litigios, fundador y presidente de la práctica de Mayer Brown Electronic Discovery and Records Management. Fue fundador y CEO de Discovery Services LLC, y vicepresidente y director general de eTera Consulting. Si quieres hablar con Ashish, puedo ponerte en contacto con él a través de esta sesión.

Así, podemos empezar. Esta es la agenda. Tenemos ocho temas diferentes que vamos a tratar de cubrir y, si el tiempo lo permite, podremos superarlos todos.

Por lo tanto, sin más preámbulos, equilibrar el riesgo y el valor, las obligaciones y las oportunidades.

Presentación básica

Matthew Miller

Por lo tanto, las organizaciones actuales pueden obtener mucho valor de sus activos de información. Y lo que es interesante es que la tecnología y la minería de datos han alcanzado las cantidades de datos que hay en las redes. Y para obtener valor de sus datos, debe equilibrar la utilidad de sus requisitos de seguridad y privacidad, ya que hay un panorama de normas y regulaciones en constante cambio. Por lo tanto, poder conservar y conservar todos sus datos y extraerlos para sus fines comerciales en los que pueda obtener valor, debe equilibrarse con el riesgo que puede suponer. Satisfacer sus obligaciones de cumplimiento con los estatutos y regulaciones que se están estableciendo a nivel internacional y en todos los Estados Unidos es muy importante para tener los controles y marcos de control correctos en su lugar.

Por lo tanto, una de las cosas en las que nos centraremos hoy es en asegurarnos de que está diseñando su programa de ciberseguridad centrado en el control para incorporar también las necesidades del equipo de privacidad, el equipo legal y también tener en cuenta la productividad de sus propios empleados y la accesibilidad de los datos para sus consumidores. y clientes.

Por lo tanto, hoy vemos muchos desafíos con los datos. Y voy a pedirle a Mike que opine un poco sobre cómo se entrelazan todos estos desafíos y, a continuación, cuáles podrían ser algunos de los desafíos realmente serios para las organizaciones que intentan dar sentido a todos los datos de su red.

Michael Sarlo

Gracias, Matt. Sin duda, vemos un crecimiento exponencial de los datos en todos lados. Y somos totalmente digitales, un mundo digital con COVID, tenemos una interconectividad sólida entre las aplicaciones con las que interactuamos día a día y que pueden haber sido nativas de escritorio, que ahora están algo estratificadas con sus puntos de datos y cómo almacenan los datos en toda su empresa, ya sea parcialmente en la nube , ya sea en línea, ya sea sin conexión. Creo que es un gran desafío para las organizaciones entender realmente cuál es su huella de datos. Y esto es especialmente cierto cuando tocamos algunas de las aplicaciones y ese tipo de cosas.

Desde ese punto de vista, es muy importante analizar realmente el diseño de políticas y asegurarse de que al pensar en un programa de gobernanza de la información, y solo en la postura de los datos, en general, lo esté haciendo de manera que esté diseñando un sistema y un proceso que permita a su organización obtener el máximo valor de sus datos, al mismo tiempo que sigue realmente los fundamentos de la ciberseguridad.

Obviamente, este año ha sido increíblemente de interés periodístico, creo, ya que los desafíos de ciberseguridad a los que se enfrenta cada organización y realmente cada individuo. Cuántos de ustedes reciben mensajes de texto raros en sus teléfonos hoy en día pidiéndoles que hagan clic en enlaces para cosas que no compraron, o para servicios que tal vez usaron hace varios años en un pequeño enlace de Bitly. Creo que ese es probablemente el próximo desafío al que muchos de nosotros tendremos que enfrentarnos.

Ciertamente, vemos tantos tipos de datos diferentes. Vemos datos no estructurados, los datos estructurados son increíblemente más comunes, tenemos repositorios en la nube, tenemos servidores, tenemos una cantidad realmente sólida de lo que equivale a TI en la sombra. Hoy en día es muy difícil controlar qué repositorios pueden estar usando los empleados, ya sea desde las redes domésticas, ya sea desde las redes de trabajo, la lista sigue y sigue. Y tan pronto como llegas a un punto en el tiempo en el que puedas idear una política sistemática que bloquee las cosas, alguien encuentra la manera de evadirla simplemente entrando en juego una nueva naturaleza de acceso.

Por lo tanto, una gobernanza de la información sólida y de misión crítica permitirá que cualquier organización empiece a comprender realmente... Creo que esto es muy importante en la era de COVID — y odio hablar más de COVID, odio decirlo, pero ahora todos están remotos, y ese es realmente el caso. Y es muy importante poder tener políticas y procedimientos que administren ese trabajo remoto y, al mismo tiempo, le permitan recopilar datos para obtener el máximo provecho de él. Y vamos a hablar sobre más estrategias allí a medida que avancemos en la presentación.

Gracias, Matt.

Matthew Miller

Y con eso en mente, y todos estos desafíos de trabajar desde casa, John, es aún más complicado hoy en día con todas las diferentes obligaciones de privacidad de datos y ciberseguridad que existen. Cualquier cosa de la que quiera hablar con los desafíos relacionados con equilibrar cómo lidiar con todas estas diferentes obligaciones, ya sean regulaciones o estándares que existen.

John Wilson

Por lo tanto, realmente es una encrucijada cuando se comienza a hablar de la intersección de la privacidad de los datos y sus obligaciones de ciberseguridad, donde tiene todos estos datos y las restricciones de privacidad en torno no solo al RGPD en la UE y las nuevas leyes de privacidad de China. Por lo tanto, existen todas estas restricciones y requisitos internacionales, pero ahora también están entrando en donde bastantes estados han propuesto legislación o tienen legislación en los libros. Incluirá California con la CCPA y varios otros estados que están presentando regulaciones.

Por lo tanto, realmente tiene que tener en cuenta eso en sus programas de gobierno para lidiar con la privacidad y las restricciones cibernéticas. Por lo tanto, se habla mucho de los estados de refugio seguro con fines de ciberseguridad en los que los estados: «Oye, si cumples con todos estos criterios, entonces no puedes ser responsable de un incidente de violación, multas y exposición». Y en gran parte de eso se trata de tener que mitigar esos datos de privacidad, asegurándose de que la información de privacidad esté segmentada y colocada en ubicaciones que están bajo controles más estrictos y requisitos de acceso más estrictos.

Matthew Miller

Ahí vamos.

Michael Sarlo

Déjame entrar también por un segundo. La privacidad por diseño es algo que escuchamos hace muchos años, y estaba leyendo toda la blogósfera preparándose para el RGPD, y realmente la forma en que Europa opera en el ámbito de las TI, es la privacidad por diseño e incluso desde el punto de vista de las aplicaciones, es la privacidad por diseño. Pensando en la gobernanza de la información, la ciberseguridad y, realmente, para los profesionales de eDiscovery que están en la llamada, es muy importante ser muy consciente de los problemas de privacidad y educarlos a lidiar con ellos. Algunas de las organizaciones más sofisticadas del mundo no comprenden bien cuáles son sus obligaciones de privacidad. Y como procesador de datos, aumenta la responsabilidad.

Y para las corporaciones de aquí, si buscas presupuesto, hacerse cargo de tu riesgo de privacidad, es muy fácil cuando empiezas a cuantificarlo en el contexto de una posible violación de datos, y estoy seguro de que Matt hablará de algunas estadísticas más adelante.

John Wilson

Y una adición rápida a eso es que si bien muchas de estas ubicaciones y lugares agregan todas estas políticas en torno a los requisitos de privacidad y seguridad de los datos, y usted tiene EE. UU., los estados más nuevos que tienen legislación y el RGPD, tienen muchos elementos similares, pero no son idénticos. Gran parte de ella se interpreta de maneras ligeramente diferentes y tiene significados diferentes y, a veces, incluso contradictorios, en el contexto de esas leyes de privacidad.

Por lo tanto, obtener una cobertura completa se convierte en un desafío.

Matthew Miller

Y es por eso que se necesita tener un enfoque programático del programa de gobernanza de la información, y debe tener en cuenta todo lo que John y Mike acaban de hablar desde una perspectiva de privacidad y ciberseguridad.

Con el transcurso del tiempo, el NIST ha presentado contenido bastante sólido en torno a cómo están entrando en juego estos diferentes problemas y los riesgos asociados con la ciberseguridad y los riesgos de privacidad superpuestos. Ahora, esa parte central en ese diagrama de Venn, esto es lo que todos estamos tratando de evitar, un evento de privacidad relacionado con la ciberseguridad, donde hay una violación o hay acceso a los datos por parte de un atacante no autorizado o incluso se podría hacer algo sin intención maliciosa que aún compromete la integridad del datos en la red, y si se exponen en la web y hay datos privados en ella, PII, PCI, PHI, entonces activarán todas esas reglas y regulaciones diferentes de las que estaban hablando los muchachos.

Por lo tanto, una forma de superarlo es reunir a los diferentes grupos, las líneas de negocios dentro de su organización y esta es una interpretación que tenemos del documento NIST de 492 páginas 800-53, que realmente se ha convertido en una guía clave del NIST en la que incluso las compañías de seguros cibernéticos se están apoyando cuando ellos repasan y realizan sus encuestas e intentan averiguar cuál es su posición y cuáles deben ser sus primas.

Mike o John, ¿algún comentario sobre el 800-53 y asegurándose de reunir la información legal, la seguridad de TI, la privacidad de los datos y la administración de registros mientras trabaja en la creación de su propio programa?

John Wilson

Creo que es imperativo. En la actual ecoesfera del mundo con la privacidad y la seguridad y los diversos desafíos y el rápido aumento de los costos de seguro, creo que es esencial que empecemos a reunir a las diversas entidades, el equipo de privacidad, el equipo legal, el equipo de seguridad, la gestión de registros e IG dentro del organización. Es muy esencial que realmente comiencen a cooperar y a trabajar hacia un mejor sentido de cumplimiento para tener cualquier posibilidad de reducir o controlar los crecientes costos y costos de cumplimiento, pero los riesgos de incumplimiento y los costos en torno a eso son bastante extremos. Y controlar los costos del seguro, controlar los costos, solo poder hacer negocios se vuelve fundamental para que todos comiencen a cooperar.

Matthew Miller

Ahora, hablemos un poco sobre cómo poner los controles en su lugar.

Michael Sarlo

Rápido, quiero hacer una pipa. Solo quiero decir una cosa. La razón por la que estas personas también necesitan unirse es que si hay un incidente, creo que es realmente para organizaciones que no han tenido un incidente importante, y realmente un problema de privacidad, es un incidente de seguridad, es una violación. Perder un portátil, los datos de un empleado con datos de clientes, es una violación. Todos son realmente violaciones de datos de alguna manera. Todo el mundo más allá de TI va a ser arrojado por encima de las brasas. Y teniendo un libro de jugadas para esto, a tantas organizaciones les falta que cuando algo sucede, es un caos total. Y de todos modos, será un caos total si consigues que rescaten toda tu red, pero al menos saber quién es responsable de qué y cuáles podrían ser las fuentes de trabajo potenciales lo pondrá en un lugar mucho mejor.

Y para los abogados de la llamada, no puedo decir cuántas personas vienen a nosotros por trabajo, no saben qué es un acuerdo de procesamiento de datos. Es muy importante cuando empiezas a observar las reglas éticas, una en particular, en lo que respecta a la competencia, que tengas una sólida comprensión del proceso de eDiscovery y los riesgos de privacidad desde un punto de vista regulatorio cuando se trata de este tipo de datos, y realmente comenzar a trabajar eso en tu flujo de trabajo es tan crítico cada vez que realice un eDiscovery general. Y sé que estamos hablando de gobernanza de la información y ciberseguridad, pero para el procesamiento de datos, en general, los abogados ya no pueden apartar la vista de esto. Creo que es como era cuando la gente necesitaba aprender sobre eDiscovery. Ahora, hay una conciencia general y la mayoría de las personas son bastante competentes, o al menos saben a dónde ir para brindar una supervisión adecuada. Así que, tan importante, incluso desde un punto de vista ético para mantenerlo y ser consciente de ello.

Matthew Miller

Es un punto muy bueno, Mike. Legal realmente influyen y tienen mucha influencia en este espacio de desarrollo de los controles y necesitan realmente comprender, como dijo Mike, todas estas áreas diferentes, y ese es el desafío que los abogados no tenían cuando, hace 15 o 20 años.

Hablemos un poco del núcleo de la situación aquí, que son los datos corporativos, el desafío logístico de proteger la organización y sus datos en sí.

Por lo tanto, sabemos dónde están nuestros datos, con suerte, usted sabe dónde están sus datos. Empezaría con un ejercicio de mapeo de datos si aún no lo ha hecho. Y una vez que sabemos dónde están nuestros datos, tenemos los sistemas, las aplicaciones, las unidades de negocio, todos estos diferentes procesos y políticas de cómo se gestionan los datos y los lugares en los que fluyen internamente dentro de la organización. Por lo tanto, con el mapa de datos implementado, debería tener una idea de la forma en que los datos fluyen entre todos estos grupos diferentes.

Ahora, encima de eso, tienes una red de terceros que acceden a esos mismos datos. Por lo tanto, la responsabilidad ahora se extiende más allá de su organización a quienes acceden o interactúan con los datos de su red, contratistas, clientes, etc. Y, por lo tanto, poner los controles que constituyen la base de su programa de ciberseguridad es muy importante, y mapear eso según cómo están sus activos apoyado por los controles. Aquí es donde realmente entra en juego el marco de control. Y debería permitir a su organización ver que todo funciona en conjunto, que los controles pueden mapear hacia abajo o hacia arriba a los estándares y regulaciones en función de los cambios y ser flexibles. Los controles deben poder ajustarse a todo lo que ocurre en el mundo exterior.

Por lo tanto, a medida que desarrolla su programa, debe tener en cuenta la gobernanza, el riesgo y el cumplimiento, ya que este panorama regulatorio cambia a diario. El resultado final es un buen equilibrio entre cumplimiento y eficiencia. Desea ver la efectividad de su cobertura y sus controles mientras mantiene el cumplimiento. Y si el panorama cambia, puede ajustar ciertos controles, en lugar de volver a iniciar todo el proceso para toda la organización. Este es un problema común para las empresas porque están haciendo malabarismos con muchos marcos diferentes con todas estas regulaciones y estándares.

Entonces, una de las formas en que podemos arreglarlo, y como que tocamos esto un poco en la diapositiva anterior, es que hay una idea que Google está usando y Apple está usando, es este enfoque de hub. Y con un programa de gobierno de la información, y para la gestión de datos y la administración de registros, y la ciberinformación, para que todo funcione en conjunto, también es un gran enfoque para su organización, este enfoque de centro. Necesita un comité directivo que represente a todos estos diferentes grupos, estas diferentes líneas de negocios dentro de su organización que tenga en cuenta todas las diferentes obligaciones de estas diferentes líneas de negocio, desde el CIO y la administración de registros, hasta su oficial de cumplimiento, ahora sus datos oficial de privacidad y, obviamente, la oficina del consejo general.

Ahora, hablemos un poco sobre la vulnerabilidad de la red y lo que está sucediendo hoy. Entonces, Mike, John, ustedes, en su práctica diaria, todas las investigaciones diferentes, todos los forenses en los que están involucrados, COVID es ese término del que no queremos hablar, pero de lo que hemos estado viendo con el atacante.

Michael Sarlo

Puedo empezar un minuto aquí. Desde un punto de vista empresarial, el ecosistema de ransomware y los actores de amenazas que operan dentro de ese sistema se han vuelto mucho más sofisticados desde el punto de vista empresarial. Hay asociaciones, hay amplios cárteles que se forman entre pandillas. Y lo que antes era un proceso que era realmente una especie de enfoque ametralladora para infiltrarse en redes para actores de amenazas, intentos masivos de phishing, ataques masivos no dirigidos se ha convertido en una empresa mucho más sofisticada, hacia el término «caza de grandes ballenas». Y lo que vemos es que los grupos trabajan, en realidad, como corredores que pueden estar solo del lado de la infiltración, que pueden estar trabajando con un corredor que luego se pondrá en contacto con otro grupo que puede ser mejor para penetrar más en una red. Hay otras personas que trabajan con ellos que son lo suficientemente sofisticadas como para lidiar con negociaciones más sólidas. Hay esgrimistas involucrados que trabajan como autónomos. Y hay plataformas robustas basadas en web que, literalmente, son muy limpias y agradables para implementar ransomware o para comprar cargas útiles de rescate que se analizarán en la red de la víctima.

Lo que esto realmente significa es increíblemente más sofisticación, y cuando ocurre una amenaza para una organización que es grande, por lo general se desprenderá en la medida en que acabará con una gran parte de su red.

En general, también, los actores de amenazas se volvieron un poco inteligentes, creo, con que las organizaciones se volvieran mucho mejores en las copias de seguridad, ya sea en DR y en la seguridad de sus copias de seguridad. Lo que normalmente vamos a encontrar en un evento de rescate a gran escala, y estoy hablando de rescates, pero a menudo los rescates también pueden ser a veces una táctica de desvío cuando hay un grupo que está intentando robar la propiedad intelectual. Esto es algo que también nos encontramos ahora. Hay diferentes problemas en la biotecnología, en algunos de los oleoductos más grandes, las diferentes industrias tienen diferentes problemas. Los despachos de abogados son un objetivo enorme en estos días. Las consultorías son un objetivo enorme. Y el efecto neto general es un enfoque mucho más coordinado y sofisticado, que a menudo aprovecha el malware de día cero. Y esto significa malware que no hay ningún método para detectar en la naturaleza. Y eso es para grandes empresas.

Lo que realmente sigue siendo la forma más importante en que las personas caen son los intentos de phishing. Y esos se están volviendo increíblemente sofisticados y cuando decimos phishing, nos referimos a los enlaces de correo electrónico que obtienes, la suplantación de un Amazon, pero también hay cosas en las que alguien quiere llamarte y pedirte tu contraseña, y es muy vergonzoso ser esa persona en tu empresa que elimina toda tu negocios.

Por lo tanto, más y más capacitación es total, totalmente una de las cosas más importantes y realmente entrenar una y otra vez, simulando ataques de phishing para proteger su entorno del elemento humano, que se ha vuelto mucho más específico y mucho más sofisticado.

John, ¿tienes algo que añadir?

John Wilson

Sí, solo un par de cosas rápidas. Uno, solo hablas del crecimiento de: el volumen de ataques. Creo que uno de los factores interesantes es que ahora estamos empezando a ver que algunas de las organizaciones más exitosas actúan como capitalistas de riesgo para los actores de amenazas. Oye, si puedes entrar, te financiaremos. Por lo tanto, están proporcionando una gran cantidad de esos fondos y realmente ayudan a que crezcan muchos de esos ataques. Pero más allá de eso, lo que se vuelve realmente aterrador es que muchas veces una organización puede decidir que quiere apuntar a alguien, entra. Para ayudarlos a cubrir sus huellas y también a monetizar aún más el evento, salen y dicen: «Oye, hemos infringido la Compañía X y te venderemos el acceso a esa violación». Y así, ahora no son solo ataques de un solo golpe donde entran, capturan algunos datos o cifran sus datos y esperan obtener un rescate o lo que sea su trayectoria, ahora dicen: «He entrado, tengo lo que quería, ahora quiero que otros cinco hackers entren y hagan lo que quieran para enterrar lo que lo hizo, así que nadie llega tan lejos».

Y así, usarla como una especie de camuflaje. Y entonces, ese es un tipo realmente nuevo de cosas post-COVID que realmente está empezando a suceder y que realmente ha ayudado a que muchos de estos ataques crezcan en volumen. Y muchas veces, las organizaciones están descubriendo el último evento que ocurrió, pero podrían estar perdiendo los eventos que sucedieron antes de eso que luego vendieron el acceso para que otras personas pisotearan sus pruebas y ocultaran lo que hicieron.

Matthew Miller

Para hacerlo aún más personal, no solo las grandes empresas son atacadas con más frecuencia ahora. Ayer mismo estaba hablando con uno de mis amigos, no recibió un paquete de Amazon, dijo que lo entregaron. Y así, va a Google escribe «Servicio al cliente de Amazon», porque en su teléfono no había forma de decir que mi paquete no fue entregado. Y el enlace superior que aparece con un número de teléfono para el servicio de atención al cliente de Amazon, lo llama y le dicen: «Oh señor, lo sentimos mucho, por supuesto que le devolveremos el dinero, solo instale esta aplicación en su teléfono», resulta que es una aplicación de duplicación de pantalla. Pudieron entrar en su Coinbase y establecer un depósito automático de mil dólares por día, que es el máximo de Wells a Coinbase y luego convertirlo en bitcoin y enviárselo a sí mismos. Literalmente le pasó esta semana a un amigo mío hasta que descubrió lo que estaba pasando.

Por lo tanto, se ha vuelto individual: se ataca a la gente además de las grandes corporaciones, lo cual es realmente aterrador.

Ahora, ¿cómo funciona esto?

John Wilson

Y Matt, ahí es exactamente donde está el concepto de capital riesgo ahora, oye, cualquiera, puede salir y tener acceso a algo, nosotros lo financiaremos. Por eso, esos objetivos se han movido hacia objetivos mucho más bajos y más pequeños.

Matthew Miller

Y el costo, sin embargo, de la recuperación sigue subiendo. El costo promedio de la violación de datos en los EE. UU. A nivel mundial, está subiendo, ¿verdad John?

John Wilson

Absolutamente, sustancialmente subiendo. Y creo que las estimaciones para 2021 probablemente sigan siendo bajas, porque solo son de principios de 2021. Ha seguido aumentando a lo largo del año.

Matthew Miller

Así es. Este informe de Ponemon solo cubre hasta, creo que fue abril. Como puede ver, el costo de una violación de datos, especialmente cuando incluye información de identificación personal, y más aún en el cuidado de la salud, ese costo por registro, y cuando se piensa en estas filtraciones que tienen cientos de miles, si no millones de registros que se divulgan en la web, estos números suman muy rápidos y sorprendentes. Y es por eso que estamos hablando de poner en marcha estos controles con anticipación, de ser un poco más proactivos con sus esfuerzos en torno a la ciberseguridad y la privacidad, y de vincularlo todo para que no termine en una de estas situaciones.

Michael Sarlo

Y creo que es importante reconocer por qué las infracciones a la atención médica son mucho más caras. En particular, en los EE. UU., Si se infringe una organización de salud, solo su nombre, una entidad, un paciente, un socio, muchas veces la gente no se da cuenta también de que todos los archivos que recibe entran en su red dependen de sus obligaciones contractuales con sus clientes cuando hay un incumplimiento, usted ciertamente tendrá que notificarles. Y con las entidades médicas, simplemente ir, básicamente, algo que dice que te trataron en algún lugar es suficiente para desencadenar una situación realmente dañina. Y eso es lo que realmente califica para que la mayoría de las notificaciones de violación de datos sean su daño, y para las empresas de atención médica, solo un nombre es suficiente para requerir un ejercicio completo de minería de datos.

Y para cualquiera que no sepa qué es la minería de datos, es básicamente el término en la industria de respuesta a incidentes para revisión de documentos, extracción de PII confidencial.

En el caso de otras compañías, que normalmente no se dedican a la atención médica y no se trata de PHI, o no hay menores, los cambios de un estado a otro, por lo general, necesita tener algún tipo de característica identificable, un nombre más una red social o social general, un número de cuenta bancaria y un nombre para constituir un daño.

Ahora, lo que es tan importante, y cuando tiene una violación, si los datos que se toman están cifrados y puede demostrar que esas claves de cifrado no se han tomado, no tiene que notificar. Y eso, desde el punto de vista de la óptica, es muy importante pensar en eso, solo desde el punto de vista empresarial, porque es solo cuestión de tiempo para todos los que están en esta llamada antes de que se encuentren en un escenario de violación.

Matthew Miller

Aquellos en las organizaciones de salud, con suerte, están prestando especial atención, porque los impactos son muy, muy dramáticos.

Ahora, tenemos este concepto de arquitectura Zero Trust y los detalles del NIST 800-207 con detalles muy, muy particulares sobre los diferentes tipos de arquitecturas Zero Trust que puede configurar dentro de su red. Y lo que tenemos realmente es un viaje ahora en lugar de un reemplazo mayorista de la infraestructura y los procesos. La organización realmente necesita implementar gradualmente los principios de Zero Trust, los cambios en los procesos y las diferentes soluciones tecnológicas que protejan sus activos de datos de mayor valor. La mayoría de las empresas pueden seguir operando en un modo híbrido basado en Zero Trust/Perimeter durante un período de tiempo indiferente mientras invierten en la modernización de sus iniciativas de TI.

Por lo tanto, las organizaciones necesitan conocer sus datos y quién puede y debe tener acceso a esos datos. Esta es la conexión entre el gobierno de la información y Zero Trust, es el concepto de acceso mínimo o mínimo de privilegios. Solo las personas que necesitan poder acceder a ciertos tipos de datos críticos, o datos protegidos, datos confidenciales en la red, son las únicas personas que realmente deberían acceder a ellos. Para saber quién debe tener acceso a qué, también necesitamos saber cuáles son todos nuestros datos que están ahí fuera.

Entonces, John o Mike, con los clientes con los que han trabajado, ¿están hablando de implementar Zero Trust y reducir los derechos de acceso y los permisos para los diferentes grupos de su red?

Michael Sarlo

Absolutamente. Es el modus operando aquí en HayStackID. Creo que puede ser un desafío porque algunos de los principios aquí se centralizan en la centralización de datos. Para implementar una arquitectura y políticas fluidas de Zero Trust, es realmente un diseño de políticas más, de alguna manera, que un diseño tecnológico. Hay algunas cosas con la configuración de ciertos tipos de superficies de ataque y cosas así desde un perímetro fuerte.

Pero debe comprender lo que hay en su red, debe llevarlo a una copia singular y debe tener una gobernanza de la información sólida, punto, tanto por lo que hay allí, como también cómo se generan los datos y dónde se guardan. Sin duda, puede ser una empresa.

Algunas cosas hacen que sea más fácil que otras, pero, por supuesto, a medida que aumenta la seguridad, en cualquier empresa, la productividad disminuye. Y esos son los tipos de cosas que deben equilibrarse, que todas las organizaciones buscan equilibrar. Y ciertamente puede llegar a un lugar donde la productividad realmente aumente, solo requiere algo de trabajo, algo de presupuesto y algo de planificación. A veces casi tiene sentido empezar desde cero hacia una arquitectura Zero Trust, en cierto modo, alrededor de las joyas de la corona, a las que Matt, creo que aludiste.

John Wilson

Creo que probablemente una de las cosas clave que dijiste allí viene a tener ese mapa de datos y la instancia singular de cualquier dato en particular. La expansión de los datos es muy real y la mayoría de las organizaciones la han sufrido porque era mucho más barato simplemente poner más almacenamiento en ella, y luego se terminan con docenas y docenas de copias de varios conjuntos de datos en toda su empresa. Y ahí es donde todo el ejercicio de gobernanza de la información, los ejercicios de políticas de los que hablamos aquí se vuelven realmente fundamentales para lograr que la organización se adapte a la instancia singular de un conjunto de datos en particular y tener los controles apropiados y el acceso con menos privilegios establecidos. Realmente está muy impulsado por la política y por llegar a esa singular instancia.

Matthew Miller

Por lo tanto, parece que una de las formas de llegar a esa instancia consolidada y más singular del control es eliminando los datos que realmente no se necesitan en la red, mientras que simultáneamente, al punto de Mike, identifica y clasifica las joyas de la corona que están en la red. No importa dentro de ese conjunto de datos garantizar que la información confidencial también se solucione adecuadamente. Mientras pueda... si tiene un propósito comercial para mantener la información personal en la red, existen métodos para proteger esa información que, en caso de una violación, no será responsable si, según Mike, acerca del cifrado, si las claves de descifrado no salen. Puede hacer formas de anonificación y enmascaramiento de números de seguro social, números de cuentas bancarias y cosas así en la red.

Pero este concepto de minimización de datos, por otro lado, creo que es lo que quieres decir, ¿verdad, John?

John Wilson

Absolutamente, lo es. En realidad, se trata de minimizar los datos, garantizar que almacena los datos que necesita, que debe tener para operar su negocio o mediante preocupaciones regulatorias, etc., y garantizar que almacene solo lo que necesita tener y solo la información que se requiere para cumplir con las normas, y, a continuación, no lo almacena en ocho lugares diferentes con diferentes controles de privilegios y controles de acceso diferentes, varias personas de la organización tienen acceso a la misma información desde todas estas ubicaciones diferentes.

Matthew Miller

Definitivamente se vincula con esa arquitectura Zero Trust...

Michael Sarlo

¿Y cómo encontramos estos datos?

Matthew Miller

¿Cómo lo encontramos?

John Wilson

Esto se reduce al mapeo de datos y la comprensión de su organización mediante herramientas. Hacemos muchas cosas aquí en HayStackID, donde utilizamos herramientas impulsadas por IA para mapear datos o extraer datos en una organización y comenzar a identificar: «Oye, ¿dónde se encuentran los datos confidenciales? ¿Qué aspecto tiene y cómo se almacena?» E identificar esos depósitos para que podamos tomar las medidas apropiadas para empezar a poner las políticas apropiadas en torno a eso y comenzar a hacer ese proceso de minimización de datos.

Michael Sarlo

Creo que para las corporaciones también hay muchas herramientas para las grandes organizaciones. Ya existen tantas herramientas que le brindan la capacidad, probablemente en su empresa de las que no conoce, de identificar datos confidenciales, PHI, PII, datos sensibles al contexto del RGPD que son nativos de Office 365, que son nativos de G Suite y que son nativos de AWS. Además, poder trabajar con esos kits de herramientas puede resultar muy útil para las personas que ya están en la nube o donde están migrando a la nube. Pero también hay un montón de herramientas geniales, todas requieren experiencia, lo cual es, obviamente, somos los expertos, no dudes en llamarnos, para aprovechar de manera eficiente, pero tampoco necesita ser un ejercicio perfecto para comenzar, porque nada es perfecto y nunca recibirás todas las gotas de goteo a menos que realmente empiezo a revisar manualmente. Pero muestreo efectivo, IA, observando los resultados de los mecanismos de identificación. Esta puede ser una excelente manera de encontrar esos bolsillos de datos ultrarricos que se pueden purgar o proteger fácilmente.

Y tenemos una gran pregunta de un panelista que está solicitando las mejores prácticas por parte de un adquirente durante las adquisiciones e integraciones de la empresa.

Y HayStackID ha hecho muchas adquisiciones y, desde luego, creo que es un enfoque gradual. Lo que generalmente descubre que está ahí fuera tal vez no sea la imagen inicial que se le presentó desde el punto de vista de la infraestructura de red. Sin duda, realizar un mapa de datos de red duro, que creo que es un poco diferente a un mapa de datos general de un eDiscovery, el contexto de gobernanza de la información, aunque se superponen completamente, es realmente su primer paso. Identificar a los empleados fallecidos que pueden estar sentados allí y comenzar por poner en marcha a las personas de TI más conocedoras para comenzar con el historial de migración. Ahí es donde descubrimos que siempre hay una pérdida sistemática de conocimiento institucional para cualquier empresa en la que entramos, ya sea un cliente al que asistimos y que ha realizado una adquisición y qué va a fusionar la infraestructura de TI, quieren migrar a una infraestructura singular. O incluso en empresas que están vendiendo una unidad de negocio, y quieren hacer una desinversión, y eso también puede ser un ejercicio complejo, cinchas, ciertos tipos de anillos de control alrededor de unidades de negocio y productos de trabajo y cosas así y, a menudo, transferirlo a una adquirente.

La historia de la migración siempre es un problema. Son las computadoras de escritorio heredadas, las laptops de las que nadie sabe que siempre son un problema. Hemos hecho cosas en las que es como un día de devolución del equipo, incluso si no pedimos a la gente que lo devuelva formalmente, y sabemos que tenemos inventario ahí fuera, solo les pediremos que lo traigan para el check-in en estas situaciones. Y eso ha sido muy efectivo para conseguir esos dispositivos que pueden estar en la caja de zapatos de alguien.

He estado con HayStackID desde el comienzo de los tiempos y recientemente he devuelto algunos teléfonos móviles que eran de cuando éramos una empresa diferente de hace muchos, muchos años.

Por lo tanto, todos, especialmente los empleados a largo plazo, esos son los que querrá perseguir, y es el historial de la migración.

John, sé que tienes muchos consejos aquí, especialmente en lo que respecta a tratar con diferentes certificaciones de seguridad y administrarlos, y tener que cumplir rápidamente con algunas organizaciones. Y para la persona que hizo la pregunta, a veces es solo un efecto de sellado y la estás migrando a una mejor postura de seguridad e higiene, solo dependiendo de lo mala que sea. Pero adelante, John.

John Wilson

Creo que llegaste a las notas altas allí. Sin duda, se convierte en un problema de tener un sentido de comprensión. De nuevo, creo que Matt dijo antes, no queremos intentar hervir el océano aquí. Vas a tener que elegir: «Vale, voy a obtener el 80% de los datos y los voy a mover, mantener el negocio operativo, llevarlo a depósitos seguros».

Donde se vuelve realmente desafiante e interesante es, digamos, que su organización ha obtenido ciertas certificaciones y tiene ciertos requisitos u obligaciones reglamentarias que la empresa que está adquiriendo puede no haber tenido. Y así, ahora, de repente, tienes que averiguar cómo puedo conseguir sus datos en nuestros depósitos, fusionar las organizaciones y seguir manteniendo mis certificaciones.

Por lo tanto, adopta un enfoque inteligente y, en general, requerirá aprovechar las herramientas que ya están implementadas, en muchos casos, y, a veces, requiere incorporar una herramienta de terceros o experiencia de terceros para ayudar a racionalizar el proceso de identificación de la información.

Obviamente, en una situación de tipo M y A, la diligencia debida es muy importante para asegurarse de tener una comprensión sólida si va a cumplir con obligaciones regulatorias diferentes a las que puede haber estado sujeta la empresa existente que está adquiriendo, la diligencia debida será la clave para comprender sus riesgos ahí.

Matthew Miller

Así es. Por lo tanto, si tenemos una idea, incluso en ese escenario de adquisición, si tiene la capacidad de, durante esa fase de diligencia debida, realizar un escaneo de alto nivel, indexar los diferentes repositorios de lo que está a punto de incorporar, para que tenga una idea de lo que hay antes de continuar y empezar a intentar fusionar estas redes, va a ser mucho más fácil para todas estas otras situaciones posteriores. Y puede administrar esos datos realmente en su punto de la red, en lugar de esperar a que suceda algo. Obtener ese enfoque proactivo hacia la gestión de los datos parece ser la clave para resolver muchos de estos problemas diferentes, desde la cibersituación, desde una situación de M y A, todos esos diferentes desafíos de datos entrelazados que estaban al frente de la presentación, incluido el eDiscovery descendente, etc.

Por lo tanto, si uno sigue el camino de la eliminación de datos y finalmente ha llegado a un punto en el que el departamento legal dice: «Podemos apretar el gatillo y eliminar potencialmente algunos de los riesgos a los que estamos sentados con nuestros datos que están en la red», el NIST también ha establecido diferentes pautas para el saneamiento de medios, poder purgar y destruir o borrar diferentes tipos de datos.

Por lo tanto, tiene estos flujos de trabajo diferentes para el final de la vida útil de sus datos que deben implementarse, lo que realmente puede afectar y reducir drásticamente el riesgo para su organización en general, y asegurarse de tener ese seguimiento de auditoría. Desea entender de dónde provienen todos sus datos, también necesitamos poder volver e informar sobre dónde fueron cuando terminamos con ellos también.

Por lo tanto, al punto de John sobre no tratar realmente de hervir todo el océano a la vez, sino más bien tener un enfoque hacia la gobernanza de la información, la postura y el aumento de su nivel de madurez.

En HayStackID, tenemos esta metodología de seis pasos para poder cambiar realmente la forma en que opera su negocio desde una perspectiva programática, pero eso se reduce al nivel granular de archivo por archivo, correo electrónico por correo electrónico, repositorio por repositorio sabiendo lo que hay ahí fuera y poder controlarlo.

Como quedan unos minutos, tenemos un par de preguntas que han surgido. Voy a leer una sola vez y luego quizás podamos responderlas sobre la marcha.

«¿Cómo navegan y enfrentan numerosos desafíos con respecto al entorno de dispositivos móviles para las solicitudes de eDiscovery? Por ejemplo, ¿todo el mundo trabaja de forma remota y desafía realizar adquisiciones remotas desde dichos dispositivos?»

John Wilson

No cabe duda de que puedo hablar de eso. Los dispositivos móviles plantean muchos desafíos, especialmente cuando empiezas a considerar el entorno remoto del mundo actual. Utilizamos kits de herramientas de recopilación remota para hacer mucho de eso. Puede utilizar soluciones de administración de dispositivos móviles (MDM) dentro de su organización para garantizar que los datos de la organización en esos dispositivos móviles se mantengan bajo control.

Los dispositivos móviles se están volviendo más complicados. Muchas de las plataformas y soluciones de los dispositivos móviles agregan sus propios niveles de encriptación. Agregan soluciones de almacenamiento basadas en la nube. Por lo tanto, las cosas no se almacenan necesariamente en el dispositivo localmente, se almacenan en la nube. Por lo tanto, los dispositivos móviles están empezando a complicarse bastante. A veces tenemos que hacer dos, tres o incluso cuatro cosas diferentes para recopilar información para un asunto de eDiscovery desde un solo dispositivo móvil. Y administrar todo eso se convertirá en algo de lo que tendrá que tener en cuenta y comenzar a encontrar soluciones, ya que algunas de estas plataformas almacenan los datos solo en la nube. Ya no está en el dispositivo.

WhatsApp, por ejemplo, tiene una nueva interfaz que está en versión beta que, básicamente, si vas a recopilar los datos de WhatsApp, tendrás que ir a la nube para obtenerlos. Las cosas que se almacenan localmente solo serán datos realmente recientes y activos, y se cifrarán de tal manera que será muy difícil recopilar y utilizar.

Por lo tanto, los dispositivos móviles definitivamente tienen sus desafíos, pero ciertamente hay formas de lidiar con ellos y mantenerse al tanto de ello, hablar con expertos que tienen experiencia diaria y regular con ellos, el conocimiento y los conocimientos técnicos va a ser la clave, así como la información, las políticas dentro de su organización. ¿Está implementando MDM que controlará cómo se utiliza ese dispositivo o qué aplicaciones se pueden ejecutar en el dispositivo y cosas de esa naturaleza para mantener un control positivo sobre dónde pueden estar los datos y cómo necesitará recopilarlos?

Matthew Miller

Eso es genial. Así que vamos a unirlo todo.

Al final del día, existen todos estos desafíos diferentes, el cumplimiento normativo, la prevención de violaciones de datos y la respuesta cuando se produce un incidente, manejando la administración de registros a un nivel y una escala sin precedentes hasta ahora. Hay estadísticas que dicen que el 90% de todos los datos que hay en el mundo hoy en día se crearon en los últimos dos años, es decir, de IDC, y que el 90% de ese 90% no están estructurados y son los más difíciles de administrar.

Por lo tanto, identificar, clasificar, inventariar y corregir los datos puede ayudar con todos estos diferentes desafíos, el cumplimiento normativo, la prevención de violaciones de datos, la administración de registros, el descubrimiento electrónico y las investigaciones. Si conocemos mejor nuestros datos, podemos manejar todas estas cosas de una manera mucho más eficiente para mitigar el riesgo y reducir los costos generales para su organización.

¿Algún comentario final de John o Mike antes de terminar? Y le diré a la audiencia que la plataforma de diapositivas acabará estando disponible. Creo que lo van a enviar por correo electrónico. También estará en el sitio web de HayStackID en breve y en... también tendremos la transcripción disponible.

John o Mike, ¿algún comentario final?

John Wilson

Agradezco el tiempo de todos. La clave aquí es la planificación y la organización para minimizar los riesgos y minimizar la expansión de datos. Ahí hay mucho.

Michael Sarlo

Mis comentarios finales van a ser con los desafíos de privacidad que existen, ese es el modus operandum en torno a todo esto para los abogados, para los profesionales de eDiscovery, para las corporaciones. El riesgo de privacidad y realmente mirar el gobierno de la información, e incluso observar su ciberseguridad, la administración de su dispositivo, la forma en que gestione una adquisición, qué tipo de datos podría estar tomando que son residentes y bajo la regulación jurisdiccional de otro país que quizás no conozca. Esa es la manera de pensar en esto y de seguir adelante.

Matthew Miller

Eso es genial. Mike y John, muchas gracias por tu información y tus ideas. También queremos agradecer a todos los que se tomaron tiempo de su agenda para asistir a la transmisión por Internet de hoy. Sabemos que su tiempo es valioso y le agradecemos que lo comparta con nosotros hoy. También espero que tengas la oportunidad de asistir al webcast del mes que viene. Actualmente está programado para el 12 de enero. Ese webcast incluirá Protect Analytics. Es un conjunto exclusivo de tecnologías y procesos que permiten a los clientes, sus conjuntos de datos y el análisis de información confidencial, que van desde PII y PHI hasta anomalías en el código de violación de datos, habilitadas por una colección de flujos de trabajo patentados y herramientas probadas. Nuestro análisis protegido es una forma proactiva o reactiva de ayudar a determinar concentraciones, ubicaciones y relaciones de datos confidenciales para informar listas de notificaciones, evaluaciones de exposición y objetivos de descubrimiento.

Puede encontrar toda la información de todas las transmisiones por Internet en el sitio web, Haystackid.com.

Gracias de nuevo por asistir y espero que tengas un buen día. Esto concluye la transmisión por Internet de hoy. Muchas gracias.

Acerca de HayStackID®

HayStackID es una firma de servicios de eDiscovery especializada que ayuda a las corporaciones y bufetes de abogados a encontrar, comprender y aprender de los datos de forma segura cuando se enfrentan a investigaciones y litigios complejos y de uso intensivo de datos. HayStackID moviliza servicios de ciberdescubrimiento, soluciones empresariales y ofertas de descubrimiento legal líderes en la industria para servir a más de 500 de las principales corporaciones y bufetes de abogados del mundo en Norteamérica y Europa. Con casi la mitad de los Fortune 100, HayStackID es un proveedor de servicios cibernéticos y legales alternativo que combina la experiencia y la excelencia técnica con una cultura de servicio al cliente de guante blanco. Además de ser clasificada constantemente por Chambers USA, IDC MarketScape nombró recientemente a la empresa líder mundial en servicios de descubrimiento electrónico por IDC MarketScape y un proveedor representativo en la Guía de mercado de Gartner 2021 para soluciones de descubrimiento electrónico. Además, HayStackID ha obtenido la certificación SOC 2 Tipo II en las cinco áreas de servicio de confianza: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Para obtener más información sobre su conjunto de servicios, incluidos programas y soluciones para necesidades empresariales legales únicas, visite Haystackid.com.