Tanto Facebook como LinkedIn anunciaron fugas de megadatos con unos pocos días de diferencia entre sí, lo que podría comprometer la información personal (PI) y la información de identificación personal (PII) de unos mil millones de personas. Eso es mucha gente, y estas filtraciones dominaron con razón los noticieros. Sin embargo, las filtraciones como estas son un síntoma de una enfermedad mayor que afecta a las empresas grandes y pequeñas: el acaparamiento de datos. Porque a veces la pregunta no es cómo protegen las empresas los datos personales, sino por qué los guardan..
Tienes miles de brechas desconocidas
Incluso cuando consideramos las violaciones a gran escala de las megaempresas con indignación pasajera, decenas de miles de pequeñas violaciones en todo el mundo están exponiendo datos confidenciales, creando responsabilidades innecesarias, malas relaciones públicas y fricciones regulatorias para decenas de miles de empresas.
Estas micro-infracciones - tanto, si no más que las de Facebook y LinkedIn - hablan del hecho de que "cuanto más, mejor" ya no es el caso cuando se trata de retener datos, particularmente cuando son confidenciales.
Los datos pueden proporcionar a las organizaciones un valor increíble, pero conllevan riesgos de robo, compromiso y uso indebido. Las empresas de hoy deben ser muy selectivas con los datos que almacenan, durante cuánto tiempo los guardan y cómo los protegen. He aquí por qué el acaparamiento de datos es una mala idea y cuatro mejores prácticas para ayudar a evitarlo.
Imperativos de cumplimiento normativo
Unos tres años después de que GDPR pusiera la privacidad de los datos en el centro de atención en la UE, las regulaciones más nuevas como la Ley de Derechos de Privacidad de California de 2020, la Ley de Protección de Datos del Consumidor recientemente aprobada por Virginia y la inminente Ley de Privacidad de Nueva York también están cambiando actitudes y acciones en los Estados Unidos.
Según muchas de estas leyes, las empresas que recopilan información personal deben revelar el propósito específico de la recopilación de datos, recopilar solo los datos necesarios para esos fines y almacenarlos de forma segura. Además, todas las regulaciones emergentes de privacidad de datos requieren que las empresas faciliten la eliminación de la PII cuando lo soliciten. Y todo esto supone que las empresas saben lo que tienen. Pero la verdad es que después de años de acumulación de datos, muchas empresas no saben con certeza qué datos tienen ni dónde se almacenan, lo que hace que la protección de datos y el cumplimiento sean casi imposibles.
Cuatro mejores prácticas para terminar con el alojamiento de datos
Para detener el acaparamiento de datos y hacer retroceder el reloj en los datos previamente acumulados, aquí hay cuatro mejores prácticas:
1) Descubra TODO a cerca de los datos que almacenas
Esto puede parecer básico, pero a partir de datos personales a través de datos oscuros, e incluidos datos regulados de cualquier tipo, en cualquier idioma, en el centro de datos o en la nube, no puede proteger lo que no sabe que tiene.
2) Clasifíquelo
Después de encontrar, viene la comprensión. Es crucial clasificar los datos confidenciales, y hacerlo a una escala de petabytes y más allá de la coincidencia de patrones tradicionales y las expresiones regulares.
3) Defina políticas
¿Qué guardar y qué tirar? Defina y aplique políticas para la retención de datos, luego automatice los flujos de trabajo para actuar sobre la antigüedad de los datos, etiquete qué datos conservar y durante cuánto tiempo, y marque los datos retenidos en exceso para su eliminación.
4) Póngale remedio
Para datos sensibles, críticos, regulados y de alto riesgo, es crucial administrar los flujos de trabajo de remediación. Asegúrese de delegar decisiones en las personas adecuadas y revise los hallazgos y las infracciones en todas sus fuentes de datos para obtener datos estructurados y no estructurados.
Poner fin al acaparamiento de datos superfluos allana el camino hacia el cumplimiento y la reducción de la responsabilidad.