16 Dic Seguridad y Compliance: Dos desafíos de la cultura Data Driven
La era del dato
Vivimos una explosión del mundo de los datos. Su generación está acelerándose de forma exponencial. Términos como Big Data, Machine Learning e IA aparecen en medios especializados y generalistas día a día. Las empresas luchan por capturar, modelar y procesar estos datos para, entre otras cosas:
- Ofrecer productos y servicios más enfocados en la experiencia del cliente.
- Tomar decisiones basadas en modelos predictivos y analíticos.
- Ganar agilidad mediante la automatización, el aprendizaje automático y los algoritmos para poder dar respuesta de forma más precisa a las necesidades del cliente/sector/mercado.
- No depender en definitiva de criterios y percepciones subjetivas.
En sí mismo se trata de un desafío salvaje. Las mayores dificultades vienen de:
- Contar con una cultura enfocada en el dato no es lo habitual. Pasar de una gestión tradicional a una dirigida por la gobernanza de los datos no es tarea sencilla ni rápida.
- Obtener una muestra representativa de calidad que permita ir progresando en su análisis y gestión es otro hándicap importante.
- Escoger los datos relevantes y la forma de tratarlos marcará sin duda la diferencia entre el éxito y el fracaso.
- Por último, los perfiles requeridos para su gestión no abundan en el mercado laboral, se trata de una disrupción que requiere de tiempo para normalizarse y extenderse.
La evolución industrial y el imparable avance de la transformación digital parecen no dejar alternativa, se trata de adaptarse o morir llevando los mensajes de los medios al extremo. Además, mejor para hoy que no para mañana, ya que vivimos en la era de la inmediatez.
Seguridad y Compliance, dos aspectos vitales de la Transformación Digital
Hay dos aspectos que no podemos obviar sobre la cultura Data Driven. Estamos hablando de la seguridad y del compliance. La evolución de los espacios de trabajo, la flexibilización de horarios, la existencia de proyectos que difuminan las fronteras interdepartamentales e incluso entre colaboradores, clientes y proveedores marcan un nuevo ecosistema digital donde los datos son un activo muy goloso para los agentes maliciosos que pueden sacar un partido económico nada desdeñable.
Como agentes principales de estos dos desafíos, tenemos a las entidades regulatorias que crean normativas de protección de datos y a los hackers que pugnan por encontrar el mínimo resquicio en los dispositivos, aplicaciones y redes para comenzar a monitorizar las organizaciones y crear un plan de ataque sin fisuras. RGPD, ISO 27001, FedRAMP y NIST entre otras establecen marcos bastante estrictos acerca del ciclo de vida y uso de los datos que recopilamos, especialmente cuando contienen información sensible como puede ser financiera, propiedad intelectual, de salud y laboral.
Si revisamos las secciones de noticias de medios especializados y generalistas, nos encontramos ante una creciente preocupación por las entidades que van cayendo una tras otra, presa de Ransomware y filtraciones de datos que suponen costes operativos directos, de imagen y confianza y de posibles sanciones por no haber protegido los datos de forma óptima, no haber comunicado y/o haber tomado las acciones pertinentes tras tener conciencia del ataque.
Ecosistemas digitales en constante evolución y crecimiento
Proteger un ecosistema de dispositivos cada vez mayor, con una superficie crítica creciente que dificulta el control del departamento TI al combinar dispositivos corporativos con personales, entornos on-premise y cloud, diferentes ubicaciones geográficas, acceso a redes inalámbricas no seguras, aplicaciones no corporativas y diferentes entornos con sistemas operativos distintos ya es de por sí una tarea titánica.
La protección del dato para asegurar tanto la disponibilidad, como el acceso estrictamente necesario a través de credenciales debe equilibrar el cumplimiento de las normativas con la operabilidad.
Lo primero que debemos cuidar es la educación del usuario para evitar comportamientos que faciliten el acceso a los hackers, ya que la principal brecha para acceder al control de identidades proviene normalmente de acciones manuales de los propios usuarios.
Debemos contar con la tecnología para:
- Monitorizar la gestión de la identidad y el acceso.
- Protegernos contra las amenazas, identificándolas y dándoles respuesta de una forma ágil y efectiva.
- Definir, adaptar, medir y auditar las políticas de seguridad, buscando un equilibrio entre protección y usabilidad.
Además, la gestión de estos sistemas basados en datos, no deben consumir recursos TI por encima de las posibilidades de las compañías, alejándolas de los proyectos verdaderamente estratégicos. Debemos tener en cuenta los dispositivos en movilidad, la actualización a las últimas versiones de todos los sistemas operativos, corporativos o no, así como la aplicación de las políticas de la compañía y la gestión supervisada de todos ellos. Para ello debemos ser capaces de gestionarlos, monitorizarlos y auditarlos con el menor esfuerzo posible.
Los sistemas de etiquetado de la información, tanto automáticos como manuales, con posibilidad de auditar, registrar y revisar las validaciones manuales en materia de sensibilidad y políticas de retención pueden ayudarnos bastante para asegurar la información. Si minimizamos el tiempo que los datos críticos están expuestos, avanzaremos un paso hacia una situación más deseable. La encriptación de los datos en descanso y en tránsito en entornos cloud también nos otorga una capa adicional de seguridad.
Los sistemas actuales de seguridad y compliance son capaces de ofrecernos unos Dashboard bastante intuitivos que nos ofrecen una puntuación de cumplimiento de normativas, aplicaciones, usuarios comprometidos, así como consejos en tiempo real para crear políticas y reportes sobre uso, actividad anómala y comportamientos que debamos investigar con más calma, facilitando las tareas de auditoría.
Acceso Cero Permanente: Los datos en una caja fuerte
Un acercamiento bastante interesante acerca de la protección de la información es establecer políticas de acceso cero permanente a los datos y añadirles automatización para que sea el sistema el que asigne directamente en función de la definición de roles y tareas, el acceso just-in-time por tiempo limitado a la información estrictamente necesaria. El resto del tiempo los datos residen en una caja fuerte virtual.
Existen soluciones con un tratamiento holístico de la seguridad y el compliance, configuradas como software, plataformas e infraestructuras como servicio que permiten tanto el enfoque exclusivamente cloud como los entornos híbridos que combinen también los dispositivos on premise. La contratación de estas soluciones mediante sistemas de suscripción pago por uso nos permiten reclasificar la inversión como gastos operativos respecto a una fuerte inversión en capital, eliminando los fuertes desembolsos iniciales. Además, son sistemas escalables, elásticos y con una gestión que no depende de nuestro personal TI a excepción de la integración o mantenimiento de entornos físicos locales.
Soluciones escalables y accesibles
Microsoft ofrece por ejemplo su producto Microsoft 365 en formato de suscripción que cuenta con licencias de Office 365, Windows 10 Enterprise y Enterprise Mobility and Security con portales de administración de seguridad y compliance.
Sin duda, estas herramientas nos facilitan dar solución a problemas de phishing, ataques maliciosos y brechas de seguridad, así como medir, auditar y revisar nuestras políticas de seguridad y compliance de una forma ágil, visual y sencilla, convirtiéndose en nuestro mejor aliado para no sucumbir ante el peso de los datos.
Son soluciones que encajan en cualquier tipo de organización, independientemente de su tamaño, precisamente las organizaciones más pequeñas, las start ups en su nacimiento, que están pensando en realizar inversiones en dispositivos on premise, tienen un aliado importante para reducir la necesidad de capital y recursos internos TI para poder destinar las inversiones a decisiones más estratégicas.
¿Cómo enfocas actualmente estos desafíos de seguridad de los datos y compliance? ¿Tienes claras cuáles pueden ser las implicaciones de dejar sin cubrir alguno de estos puntos?
Sin comentarios