Autor/a: Luis Ángel del Valle, CEO, SealPath Technologies
En una época marcada por los continuos anuncios en los medios de comunicación de organizaciones que han sufrido filtraciones y robos de datos tanto públicos como privados, la seguridad de este activo de valor incalculable nunca ha sido tan importante. Cada día, las empresas se enfrentan a la desalentadora tarea de salvaguardar la información confidencial frente a una serie de amenazas en constante evolución. Como alguien que ha navegado por las complejidades de la seguridad de los datos durante más de una década, he sido testigo de primera mano de los cambiantes paradigmas y retos a los que se enfrentan las organizaciones. Este artículo tiene como objetivo iluminar el camino a seguir, proponiendo un reajuste fundamental hacia la seguridad centrada en los datos como un enfoque sólido para las acuciantes preocupaciones de hoy en día. Acompáñeme a explorar por qué adoptar esta estrategia no sólo es estratégico, sino esencial para las empresas que aspiran a prosperar en este contexto.
Las empresas actuales operan en un entorno en el que los perímetros de seguridad tradicionales prácticamente se han disuelto. La transición al trabajo a distancia y a las políticas de «traiga su propio dispositivo» (BYOD), consecuencia directa de los recientes acontecimientos mundiales, ha exacerbado aún más esta tendencia. Estas líneas difusas, combinadas con la sofisticación de las ciberamenazas modernas, han aumentado significativamente los riesgos de violación de datos, daños a la reputación y sanciones reglamentarias.
Las brechas de datos aumentaron un 72% entre 2021 y 2023 según el Informe de Brechas de Datos 2023 de The Identity Theft Resource Center (ITRC), que ha subrayado la importancia de una seguridad de datos robusta. Entre los principales riesgos se encuentran los ataques de phishing, las vulnerabilidades Zero-Day, las infecciones de malware como el ransomware, las amenazas internas y el cifrado insuficiente, todo lo cual puede dar lugar a pérdidas financieras significativas, 4,45 millones de dólares de media según el informe IBM Cost of a Data Breach Report 2023. Desde 2020, el coste medio de una violación de datos ha aumentado un 15,3% desde los 3,86 millones de dólares. Se espera que los costes alcancen los 5 millones de dólares en los próximos años en función de esta tendencia.
Desde que los ciberdelincuentes han descubierto nuevas formas de lucrarse, no han dejado de evolucionar, y saben que los datos son una mina de oro. Su principal motivación es acceder a los documentos y datos más críticos de las empresas para lucrarse.
En el centro de estas preocupaciones se encuentra el reto de controlar quién puede acceder a los datos, en qué condiciones, y garantizar que permanezcan protegidos, independientemente de su ubicación. Lo que está en juego es más importante que nunca, ya que la filtración de datos puede herir de muerte la reputación de una organización, por no hablar de las graves implicaciones impuestas por las normativas cada vez más estrictas en todo el mundo.
Para hacer frente a estas crecientes preocupaciones, es esencial un cambio de paradigma. Avanzar hacia un enfoque de seguridad centrado en los datos garantiza que la atención se centre directamente en la protección de los propios datos, independientemente de dónde residan. Esta estrategia ofrece una solución que se ajusta al panorama organizativo actual, en el que los datos fluyen libremente más allá de los confines de las redes tradicionales. Al cifrar los datos y controlar directamente el acceso, creamos una capa protectora resistente que se desplaza con la información. Esta alineación no sólo mejora la seguridad, sino que también ofrece una mayor flexibilidad, un rasgo indispensable en los fluidos entornos de trabajo actuales.
Existen diferentes elementos clave para un enfoque eficaz de la seguridad centrado en los datos:
Antes de lanzarse de cabeza a la implantación de soluciones centradas en los datos, es vital realizar un análisis exhaustivo para identificar la información de mayor riesgo dentro de una organización. Comprender qué datos se generan, cómo se utilizan y, lo que es más importante, cómo se comparten, constituye la base del éxito de una estrategia de seguridad centrada en los datos. Un examen exhaustivo de los flujos de datos dentro de una organización revelará los activos críticos que exigen la máxima protección. Esta priorización no sólo garantiza que los recursos se asignen de forma eficiente, sino que también mejora
significativamente el rendimiento de la inversión en tecnologías de seguridad de datos al proteger primero la información más vulnerable.
Muchas organizaciones no han realizado un análisis exhaustivo de la información que manejan, generan y comparten. SealPath lleva 10 años recomendándolo. Como expertos en seguridad centrada en datos, sabemos que disponer de un informe que identifique la información más vulnerable es crucial para aplicar las medidas más eficaces, adaptadas a la naturaleza de cada tipo de información. Esto sólo puede hacerse con un método analítico.
En el pasado, nos dimos cuenta de que, a la hora de ayudar a las organizaciones a establecer distintos tipos de políticas o normas para proteger su información, apenas sabían diferenciar el nivel de sensibilidad de cada tipo de información, el contexto en el que se maneja e incluso las distintas categorías de información. Esto hacía muy difícil asesorarles sobre las mejores políticas o normas de seguridad, ya que éstas deben adaptarse a la naturaleza de cada tipo de información para ser eficaces.
Tras una profunda documentación de los datos y flujos de la empresa, recomiendo calcular los riesgos generales por tipo de información, como los jurídicos, financieros, de reputación u operativos. El objetivo es obtener el nivel de riesgo al que está expuesto un tipo de información, como los datos estratégicos.
Una vez conocidos los riesgos generales, recomiendo calcular los riesgos por tipología, para cuantificar el riesgo por tipo de fichero e impacto en las 5 dimensiones de la seguridad de la información: Confidencialidad, Integridad, Disponibilidad, Trazabilidad y Autenticidad. Como resultado, identificaremos qué ficheros concretos corren más riesgo. Un ejemplo podrían ser, por ejemplo, los diseños con propiedad intelectual.
SealPath es distribuido por su integrador certificado, BNS UEP, un proveedor de soluciones de datos que permite a las organizaciones establecer y reforzar su gestión del ciclo de vida de los datos y su postura de seguridad. El punto de partida del ciclo de vida es un inventario de datos limpio, preciso y actualizado, en el que los datos conformes (p. ej., PII, CCPA, otras leyes de privacidad de datos de EE. UU., GDPR, HIPAA), no conformes y críticos (p. ej., IP, secretos comerciales, clasificados) puedan identificarse, delimitarse, aislarse, etiquetarse con precisión y clasificarse. Esto, combinado con la Gobernanza del Acceso, que incluye controles de acceso basados en roles y atributos, mínimos privilegios, la capacidad de revocar el acceso y cifrar los datos en reposo, en uso y en tránsito, es esencial para cualquier organización. La solución de servicios unificados de SealPath y BNS ofrece información rápida y relevante para reducir los riesgos de acceso y datos (financieros, legales y de cumplimiento normativo, operativos), al tiempo que proporciona un refuerzo de la integridad de los datos y archivos con la gestión de derechos empresariales y DLP.
El camino hacia una sólida seguridad de los datos es complejo y continuo. Sin embargo, al cambiar nuestra perspectiva hacia un enfoque centrado en los datos, nos posicionamos para combatir mejor las polifacéticas amenazas de la era actual. Es imperativo que no nos apresuremos a desplegar soluciones sin antes haber adquirido un profundo conocimiento de nuestro panorama de datos. La información obtenida de este análisis tiene un valor incalculable, orienta nuestras decisiones estratégicas y garantiza que invirtamos sabiamente en tecnologías que ofrezcan resultados tangibles.
En última instancia, sé que encontrar el momento adecuado para llevar a cabo un análisis de este tipo y dedicarle el esfuerzo necesario resulta difícil para muchos CISO. Pero hacerlo tiene un beneficio incuestionable a largo plazo: el conocimiento es poder, y en este caso, es rentabilidad. Tener una visión real y detallada de los activos de datos que gestiona su organización, así como de sus riesgos, no sólo evitará las peores consecuencias en casos de violaciones de datos, sino que también minimizará su impacto en su organización.
El mundo de la seguridad de los datos se encuentra en una encrucijada, y la dirección que elijamos ahora definirá la seguridad y resistencia de las empresas en los años venideros. Emprendamos este camino hacia la seguridad centrada en los datos, armados con los conocimientos y estrategias que salvaguardarán nuestro futuro.
Post original aquí.