|

Los defensores del perímetro de seguridad no quieren que conozcas la seguridad centrada en los datos

En una época marcada por los continuos anuncios en los medios de comunicación de organizaciones que han sufrido filtraciones y robos de datos tanto públicos como privados, la seguridad de este activo de valor incalculable nunca ha sido tan importante. Cada día, las empresas se enfrentan a la desalentadora tarea de salvaguardar la información confidencial frente a una serie de amenazas en constante evolución. Como alguien que ha navegado por las complejidades de la seguridad de los datos durante más de una década, he sido testigo de primera mano de los cambiantes paradigmas y retos a los que se enfrentan las organizaciones. Este artículo tiene como objetivo iluminar el camino a seguir, proponiendo un reajuste fundamental hacia la seguridad centrada en los datos como un enfoque sólido para las acuciantes preocupaciones de hoy en día. Acompáñeme a explorar por qué adoptar esta estrategia no sólo es estratégico, sino esencial para las empresas que aspiran a prosperar en este contexto.

La seguridad de los datos en el contexto de la empresa moderna

Las empresas actuales operan en un entorno en el que los perímetros de seguridad tradicionales prácticamente se han disuelto. La transición al trabajo a distancia y a las políticas de «traiga su propio dispositivo» (BYOD), consecuencia directa de los recientes acontecimientos mundiales, ha exacerbado aún más esta tendencia. Estas líneas difusas, combinadas con la sofisticación de las ciberamenazas modernas, han aumentado significativamente los riesgos de violación de datos, daños a la reputación y sanciones reglamentarias.

Las brechas de datos aumentaron un 72% entre 2021 y 2023 según el Informe de Brechas de Datos 2023 de The Identity Theft Resource Center (ITRC), que ha subrayado la importancia de una seguridad de datos robusta. Entre los principales riesgos se encuentran los ataques de phishing, las vulnerabilidades Zero-Day, las infecciones de malware como el ransomware, las amenazas internas y el cifrado insuficiente, todo lo cual puede dar lugar a pérdidas financieras significativas, 4,45 millones de dólares de media según el informe IBM Cost of a Data Breach Report 2023. Desde 2020, el coste medio de una violación de datos ha aumentado un 15,3% desde los 3,86 millones de dólares. Se espera que los costes alcancen los 5 millones de dólares en los próximos años en función de esta tendencia.

Desde que los ciberdelincuentes han descubierto nuevas formas de lucrarse, no han dejado de evolucionar, y saben que los datos son una mina de oro. Su principal motivación es acceder a los documentos y datos más críticos de las empresas para lucrarse.

En el centro de estas preocupaciones se encuentra el reto de controlar quién puede acceder a los datos, en qué condiciones, y garantizar que permanezcan protegidos, independientemente de su ubicación. Lo que está en juego es más importante que nunca, ya que la filtración de datos puede herir de muerte la reputación de una organización, por no hablar de las graves implicaciones impuestas por las normativas cada vez más estrictas en todo el mundo.

Hacia un enfoque de seguridad centrado en los datos

Para hacer frente a estas crecientes preocupaciones, es esencial un cambio de paradigma. Avanzar hacia un enfoque de seguridad centrado en los datos garantiza que la atención se centre directamente en la protección de los propios datos, independientemente de dónde residan. Esta estrategia ofrece una solución que se ajusta al panorama organizativo actual, en el que los datos fluyen libremente más allá de los confines de las redes tradicionales. Al cifrar los datos y controlar directamente el acceso, creamos una capa protectora resistente que se desplaza con la información. Esta alineación no sólo mejora la seguridad, sino que también ofrece una mayor flexibilidad, un rasgo indispensable en los fluidos entornos de trabajo actuales.

Existen diferentes elementos clave para un enfoque eficaz de la seguridad centrado en los datos:

  • Identificación de la información sensible: El objetivo de un atacante, ya sea interno o externo, suele ser la información más sensible y valiosa: datos a través de los cuales puede obtener beneficios directa o indirectamente. Por otro lado, también están los datos relacionados con algún tipo de normativa como EU-GDPR, PCI, u otras. En algunas organizaciones estos se almacenan en determinados repositorios conocidos por los equipos, sin embargo, también pueden estar distribuidos.
  • Protección centrada en los datos: Los controles de seguridad centrados en los datos se centran en asegurar el contenido valioso de la organización para poder protegerlo de posibles salidas no autorizadas de la red, la nube o fugas de datos. Podemos saber dónde está la información sensible de la organización, pero de poco servirá, si no aplicamos medidas para proteger esta información allá donde viaje.
  • Auditoría y monitorización del acceso a los datos: Para determinar el nivel de riesgo sobre los datos corporativos, es importante poder analizar su uso y determinar si los patrones de comportamiento de los usuarios sobre los datos están fuera de un determinado estándar.
  • Administración y gestión de las políticas de datos: Quién debe o no tener permisos para acceder a los datos no es algo que se establezca de forma estática y duradera. Hay que poder aplicar políticas dinámicas sobre los datos, de forma que si se deja de colaborar con alguien o se detecta que una determinada persona puede estar en riesgo, podamos revocarle el acceso o intentar evitar que salga de la red corporativa.

Primeros pasos cruciales

Antes de lanzarse de cabeza a la implantación de soluciones centradas en los datos, es vital realizar un análisis exhaustivo para identificar la información de mayor riesgo dentro de una organización. Comprender qué datos se generan, cómo se utilizan y, lo que es más importante, cómo se comparten, constituye la base del éxito de una estrategia de seguridad centrada en los datos. Un examen exhaustivo de los flujos de datos dentro de una organización revelará los activos críticos que exigen la máxima protección. Esta priorización no sólo garantiza que los recursos se asignen de forma eficiente, sino que también mejora

significativamente el rendimiento de la inversión en tecnologías de seguridad de datos al proteger primero la información más vulnerable.
Muchas organizaciones no han realizado un análisis exhaustivo de la información que manejan, generan y comparten. SealPath lleva 10 años recomendándolo. Como expertos en seguridad centrada en datos, sabemos que disponer de un informe que identifique la información más vulnerable es crucial para aplicar las medidas más eficaces, adaptadas a la naturaleza de cada tipo de información. Esto sólo puede hacerse con un método analítico.

En el pasado, nos dimos cuenta de que, a la hora de ayudar a las organizaciones a establecer distintos tipos de políticas o normas para proteger su información, apenas sabían diferenciar el nivel de sensibilidad de cada tipo de información, el contexto en el que se maneja e incluso las distintas categorías de información. Esto hacía muy difícil asesorarles sobre las mejores políticas o normas de seguridad, ya que éstas deben adaptarse a la naturaleza de cada tipo de información para ser eficaces.

Tras una profunda documentación de los datos y flujos de la empresa, recomiendo calcular los riesgos generales por tipo de información, como los jurídicos, financieros, de reputación u operativos. El objetivo es obtener el nivel de riesgo al que está expuesto un tipo de información, como los datos estratégicos.

Una vez conocidos los riesgos generales, recomiendo calcular los riesgos por tipología, para cuantificar el riesgo por tipo de fichero e impacto en las 5 dimensiones de la seguridad de la información: Confidencialidad, Integridad, Disponibilidad, Trazabilidad y Autenticidad. Como resultado, identificaremos qué ficheros concretos corren más riesgo. Un ejemplo podrían ser, por ejemplo, los diseños con propiedad intelectual.

SealPath es distribuido por su integrador certificado, BNS UEP, un proveedor de soluciones de datos que permite a las organizaciones establecer y reforzar su gestión del ciclo de vida de los datos y su postura de seguridad. El punto de partida del ciclo de vida es un inventario de datos limpio, preciso y actualizado, en el que los datos conformes (p. ej., PII, CCPA, otras leyes de privacidad de datos de EE. UU., GDPR, HIPAA), no conformes y críticos (p. ej., IP, secretos comerciales, clasificados) puedan identificarse, delimitarse, aislarse, etiquetarse con precisión y clasificarse. Esto, combinado con la Gobernanza del Acceso, que incluye controles de acceso basados en roles y atributos, mínimos privilegios, la capacidad de revocar el acceso y cifrar los datos en reposo, en uso y en tránsito, es esencial para cualquier organización. La solución de servicios unificados de SealPath y BNS ofrece información rápida y relevante para reducir los riesgos de acceso y datos (financieros, legales y de cumplimiento normativo, operativos), al tiempo que proporciona un refuerzo de la integridad de los datos y archivos con la gestión de derechos empresariales y DLP.

Conclusión

El camino hacia una sólida seguridad de los datos es complejo y continuo. Sin embargo, al cambiar nuestra perspectiva hacia un enfoque centrado en los datos, nos posicionamos para combatir mejor las polifacéticas amenazas de la era actual. Es imperativo que no nos apresuremos a desplegar soluciones sin antes haber adquirido un profundo conocimiento de nuestro panorama de datos. La información obtenida de este análisis tiene un valor incalculable, orienta nuestras decisiones estratégicas y garantiza que invirtamos sabiamente en tecnologías que ofrezcan resultados tangibles.

En última instancia, sé que encontrar el momento adecuado para llevar a cabo un análisis de este tipo y dedicarle el esfuerzo necesario resulta difícil para muchos CISO. Pero hacerlo tiene un beneficio incuestionable a largo plazo: el conocimiento es poder, y en este caso, es rentabilidad. Tener una visión real y detallada de los activos de datos que gestiona su organización, así como de sus riesgos, no sólo evitará las peores consecuencias en casos de violaciones de datos, sino que también minimizará su impacto en su organización.

El mundo de la seguridad de los datos se encuentra en una encrucijada, y la dirección que elijamos ahora definirá la seguridad y resistencia de las empresas en los años venideros. Emprendamos este camino hacia la seguridad centrada en los datos, armados con los conocimientos y estrategias que salvaguardarán nuestro futuro.

Post original aquí.

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.