Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Más del 60% de las Recomendaciones de Privacidad de Datos de la GAO No Han Sido Implementadas en 24 Agencias Federales de EE. UU.
GAO Report Finds Data Privacy Risks in Federal Agencies Remain a Problem

Más del 60% de las Recomendaciones de Privacidad de Datos de la GAO No Han Sido Implementadas en 24 Agencias Federales de EE. UU.

by Patrick Spencer updated noviembre 22, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Recomendaciones de Privacidad de Datos del Gobierno Federal de EE. UU. se Remontan a 1997

La privacidad de datos y la protección de la información personal identificable (PII) son actividades que casi todas las organizaciones deben tomar en serio, incluidas las agencias del gobierno federal de los Estados Unidos. El mandato para proteger la información se remonta a 1997, cuando la Oficina de Responsabilidad del Gobierno de EE. UU. (GAO) identificó la seguridad de la información como un área de alto riesgo para todas las agencias federales. Este mandato fue seguido por otro en 2003, que amplió el alto riesgo para incluir la infraestructura cibernética crítica. Se amplió nuevamente en 2015 para incluir la privacidad de la información personal.

La GAO toma en serio la privacidad de los datos y la protección de la PII. Desde 2010, la GAO ha emitido 236 recomendaciones diferentes sobre la privacidad de la PII.

Evaluando el Desempeño de las Agencias Federales en Privacidad de Datos

Buscando determinar qué tan bien están implementando las agencias federales estas recomendaciones, la GAO evaluó cada una de las 236 recomendaciones en 24 agencias diferentes. En el Informe GAO-23-106443, la GAO descubrió que 140 de las recomendaciones aún no se han implementado. Muchas de las agencias, según el informe, no incorporaron completamente la privacidad en sus estrategias de administración de riesgos de ciberseguridad, no proporcionaron la participación de los funcionarios de privacidad en la autorización de sistemas que contienen PII, o no desarrollaron una estrategia de monitoreo continuo para la privacidad.

La falta de controles de exposición al riesgo de privacidad de datos, seguimiento y seguridad pone en riesgo los datos privados. Los ciberdelincuentes pueden explotar vulnerabilidades en redes y aplicaciones para acceder a contenido sensible, manteniendo a las agencias como rehenes a través de ataques de ransomware o robándolo para obtener ventajas competitivas o de estado-nación.

La GAO identificó varias recomendaciones de privacidad de datos que no se implementaron o se implementaron parcialmente.

La Transformación Digital de las Agencias Federales Crea un Mayor Objetivo para los Ciberataques

El uso de sistemas tecnológicos por parte de las agencias federales y los propietarios de infraestructuras críticas se ha vuelto cada vez más vital para las operaciones gubernamentales, dentro de las agencias, entre agencias y con terceros. Sin embargo, con un aumento en los ciberataques, la seguridad de estos sistemas se ha convertido en un motivo de preocupación. Los actores maliciosos están cada vez más dispuestos y capacitados para llevar a cabo ciberataques que pueden causar daños graves a la seguridad humana, la seguridad nacional, el medio ambiente y la economía. La confidencialidad, integridad y disponibilidad de estos sistemas deben protegerse para garantizar el bienestar de la nación.

Las recomendaciones de privacidad de datos de la GAO abordan brechas en la gobernanza y los controles de seguridad y seguimiento que están destinados a hacer inmensamente más difícil para los ciberdelincuentes y los estados-nación rebeldes acceder a la PII y otros tipos de contenido sensible. Desafortunadamente, con el 60% de las recomendaciones de la GAO desde 2010 sin implementar, el riesgo para el contenido sensible enviado, compartido, recibido y almacenado por las agencias federales de EE. UU. es sustancial.

Este artículo del blog revisará el GAO-23-106443 y algunas de sus mayores revelaciones, así como también señalará los puntos clave encontrados en el informe, tanto para el sector público como privado.

Por Qué los Actores Maliciosos Cibernéticos Apuntan a la PII

Como parte del movimiento hacia la transformación digital, las agencias federales han incrementado la cantidad de contenido sensible que comparten, envían y reciben dentro de sus agencias, entre agencias y con terceros externos. Además del creciente volumen de correos electrónicos enviados, el uso compartido seguro de archivos y la transferencia de archivos administrada (MFT) se han vuelto cada vez más vitales para las agencias federales. Como resultado, el uso compartido de archivos y MFT son objetivos principales para los ciberdelincuentes y los estados-nación rebeldes. Si faltan los controles de seguridad y seguimiento adecuados, entonces el contenido sensible que se comparte, recibe y almacena presenta un riesgo y costo significativo. Este contenido sensible no solo incluye PII, sino también registros financieros y números de cuenta, propiedad intelectual y otros secretos gubernamentales.

Los ciberdelincuentes apuntan al contenido sensible y la PII para obtener ganancias financieras. La PII en ciertas industrias, como la salud, es más lucrativa que la PII de otras industrias. Las herramientas de uso compartido de archivos y MTF pueden ser explotadas para robar nombres de usuario y contraseñas, que luego pueden usarse para acceder a otras cuentas dentro de la organización. Además, muchos de estos sistemas son vulnerables a ataques de malware y ransomware, que pueden usarse para deshabilitar redes y cifrar contenido dentro de ellas.

Desafortunadamente, la amenaza potencial para la PII no se limita a las agencias federales, ya que las agencias gubernamentales frecuentemente comparten información importante con terceros, como contratistas, consultores y otras entidades externas. Esto crea una oportunidad para que los actores maliciosos accedan a información sensible a medida que se comparte y transmite a través de uso compartido de archivos, sistemas de transferencia de archivos administrados, formularios web y correo electrónico. Debido a la naturaleza y el crecimiento de la cadena de suministro, el riesgo de exposición de la PII es mucho mayor. Un eslabón débil en la cadena de suministro puede exponer la PII de cientos o incluso miles de organizaciones.

Qué Necesitan Hacer las Agencias Federales para Proteger la PII

Debido a su importancia, es imperativo que las agencias federales empleen las últimas medidas de seguridad para proteger la PII al usar estos sistemas. Por ejemplo, deben asegurarse de que todas las transmisiones de datos estén cifradas y que utilicen medidas de autenticación fuertes. También deben auditar regularmente las redes y sistemas que se utilizan para compartir y almacenar estos documentos, para garantizar que cualquier problema potencial se identifique y aborde rápidamente. En última instancia, proteger la PII a través de correo electrónico, uso compartido de archivos, MFT y formularios web es un esfuerzo continuo y constante para las agencias federales y otras organizaciones.

Deficiencias de Privacidad de Datos Identificadas por la GAO

El informe de la GAO resume las deficiencias de privacidad de datos encontradas en las diferentes agencias federales. Se dividen en las siguientes áreas:

  1. Falta de prácticas efectivas de gestión de datos. Las agencias federales carecen de prácticas efectivas de gestión de datos, lo que dificulta identificar, categorizar y asegurar los datos sensibles.
  2. Controles de seguridad insuficientes. Las agencias federales tienen controles de seguridad inadecuados para proteger los datos sensibles, incluidos el cifrado, la autenticación multifactor y los controles de acceso.
  3. Inventario incompleto o inexacto de PII. Las agencias federales carecen de inventarios completos o precisos de PII, lo que dificulta identificar y asegurar los datos sensibles.
  4. Planificación de respuesta a incidentes inadecuada. Las agencias federales carecen de una planificación adecuada de respuesta a incidentes, lo que obstaculiza su capacidad para responder eficazmente a los ciberataques y proteger los datos sensibles.

El informe de la GAO encontró varias áreas más deficientes por parte de las agencias federales. Por ejemplo, 14 de las 24 no han desarrollado una estrategia de gestión de riesgos de privacidad, solo la mitad han incorporado la privacidad en los pasos de autorización del sistema, y 10 de las 24 no han desarrollado o solo han desarrollado parcialmente una estrategia de monitoreo continuo de privacidad. Una de las áreas en el informe que detalla la causa detrás del riesgo se relaciona con la falta de controles y seguimiento alrededor de los datos privados compartidos y enviados a terceros. Las organizaciones, según la GAO, deben garantizar la privacidad de la PII que recopilan, usan y comparten.

Recomendaciones de Privacidad de PII de la GAO

Para abordar las deficiencias mencionadas, el informe de la GAO detalla una serie de recomendaciones que incluyen:

  1. Desarrollar prácticas efectivas de gestión de datos. Las agencias federales necesitan desarrollar prácticas efectivas de gestión de datos para identificar, categorizar y asegurar los datos sensibles. También deben implementar prácticas de minimización de datos para reducir la cantidad de datos sensibles almacenados.
  2. Mejorar los controles de seguridad. Las agencias federales deben mejorar los controles de seguridad para proteger los datos sensibles. Esto incluye implementar cifrado, autenticación multifactor y controles de acceso para garantizar que solo el personal autorizado tenga acceso a los datos sensibles.
  3. Mantener inventarios precisos de PII. Las agencias federales deben mantener inventarios precisos de PII para permitir la identificación y protección de datos sensibles. También deben implementar auditorías regulares de sus inventarios para garantizar que sean completos y precisos.
  4. Desarrollar planes de respuesta a incidentes integrales. Las agencias federales deben desarrollar planes de respuesta a incidentes integrales para responder eficazmente a los ciberataques y proteger los datos sensibles. Estos planes deben incluir procedimientos para identificar y minimizar las amenazas cibernéticas, notificar a las personas afectadas y preservar evidencia para investigaciones.
  5. Aumentar la capacitación en ciberseguridad. Las agencias federales deben aumentar la capacitación en ciberseguridad para sus empleados para aumentar la conciencia sobre la importancia de la privacidad y seguridad de los datos. Esto incluye proporcionar capacitación sobre cómo identificar y responder a amenazas cibernéticas, así como mejores prácticas para la protección de datos.
  6. Colaborar con otras agencias y partes interesadas. Las agencias federales deben colaborar con otras agencias y partes interesadas para compartir información y mejores prácticas para la privacidad y seguridad de los datos. Esto incluye compartir inteligencia sobre amenazas, colaborar en la planificación de respuesta a incidentes y participar con el sector privado para promover la conciencia sobre ciberseguridad.
  7. Aumentar la responsabilidad. Las agencias federales deben aumentar la responsabilidad por la privacidad y seguridad de los datos. Esto incluye implementar auditorías regulares de sus prácticas de privacidad de datos, establecer métricas para medir su progreso en abordar deficiencias y responsabilizar a individuos y organizaciones por violaciones de datos.

Llamado de Atención para Proteger Datos Sensibles a Nivel Federal

La protección de datos sensibles es crítica para salvaguardar la privacidad individual, la seguridad nacional y el bienestar de la nación. El gobierno federal ha identificado la seguridad de la información como un área de alto riesgo y ha estado haciendo recomendaciones para abordar deficiencias en la privacidad y seguridad de los datos. Sin embargo, el último informe de la GAO destaca que todavía existen deficiencias significativas en la implementación de estas recomendaciones.

Las agencias federales deben tomar medidas urgentes para abordar estas deficiencias, incluyendo desarrollar prácticas efectivas de gestión de datos, mejorar los controles de seguridad, mantener inventarios precisos de PII, desarrollar planes de respuesta a incidentes integrales, aumentar la capacitación en ciberseguridad, colaborar con otras agencias y partes interesadas, y aumentar la responsabilidad por la privacidad y seguridad de los datos.

Hasta que estas recomendaciones se implementen completamente, las agencias federales estarán más limitadas en su capacidad para proteger los datos privados y sensibles que se les confían. La protección de datos sensibles es esencial para garantizar el bienestar de la nación y debe ser una prioridad máxima para las agencias federales y los propietarios de infraestructuras críticas.

Usando Kiteworks para Rastrear, Controlar y Asegurar la PII

Así como la confianza cero es crítica para proteger la red, la infraestructura y las aplicaciones de ciberataques maliciosos, es igualmente importante para proteger el contenido sensible, incluida la PII. La confianza cero definida por el contenido utiliza acceso de menor privilegio y monitoreo y políticas siempre activas para rastrear y controlar quién accede al contenido, quién puede editarlo y a quién y dónde se puede compartir o enviar.

Autorizado por FedRAMP.

Kiteworks está autorizado por FedRAMP para Impacto de Nivel Moderado, lo que significa que la Red de Contenido Privado cumple con estrictos estándares de seguridad. A través de su marco de políticas, las agencias pueden configurar rápida y fácilmente permisos específicos de usuario y controles de acceso para los datos almacenados en la red. Esto asegura que solo los usuarios autorizados puedan acceder a la PII y que a cada usuario solo se le dé acceso a los datos que necesitan.

Dispositivo virtual reforzado de Kiteworks. Además del marco de políticas de privacidad, Kiteworks también ofrece un dispositivo virtual reforzado. El dispositivo proporciona una capa adicional de seguridad y confiabilidad al limitar el acceso a la red y proteger los datos del usuario de posibles actores maliciosos. El dispositivo virtual reforzado de Kiteworks ayuda a asegurar que la PII y otro contenido sensible que se envía y comparte digitalmente.

Cifrado doble a nivel de archivo y volumen. Para asegurar que la PII esté protegida de amenazas potenciales, Kiteworks utiliza cifrado doble. El cifrado doble es un proceso que cifra los datos dos veces: en reposo con cifrado AES-256 a nivel de archivo y luego nuevamente a nivel de volumen antes de escribirlo en el disco. Al usar este proceso, los usuarios pueden estar seguros de que sus datos están protegidos de actores maliciosos, incluso si los datos son interceptados en tránsito.

Detección de anomalías habilitada por IA. La Red de Contenido Privado de Kiteworks utiliza detección de anomalías habilitada por IA para detectar actividad maliciosa y proteger la PII. La detección de anomalías es un proceso donde los algoritmos de aprendizaje automático identifican posibles amenazas, como software malicioso, y alertan a los usuarios sobre posibles violaciones o intentos de acceso no autorizado.

Red de Contenido es una excelente opción. Con Kiteworks, las agencias federales pueden unificar, rastrear, controlar y asegurar la PII mientras cumplen con los requisitos de FedRAMP. Kiteworks también acelera el cumplimiento de CMMC (Certificación de Modelo de Madurez de Ciberseguridad) Nivel 2, apoyando casi el 90% de los requisitos de CMMC 2.0 Nivel 2 de inmediato.

Las agencias federales y otras entidades gubernamentales que buscan ayuda para proteger la PII y otro contenido sensible, además de innumerables entidades del sector privado, pueden programar una demostración personalizada hoy para ver la Red de Contenido Privado de Kiteworks en acción.

 

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks