Hoy día, los desafíos que enfrentan las organizaciones para enumerar datos sensibles y también para proteger su información, son vastos. La información es la joya de la corona, el santo grial.
Consideremos para esto, el expansionismo incesante de la digitalización, incluida la migración y la reinvención de procesos, la incorporación y la diversificación de aplicaciones de nube, la adaptación de un modelo de trabajo presencial a modelos de trabajo remoto o híbridos; todo cocido al calor de la emergencia sanitaria de los últimos dos años.
Antes de pandemia las empresas se encontraban ante un escenario en el que los colaboradores tenían acceso en sitio mayormente y lo que se consumía desde el exterior, era poco y por tanto fácil de definir las políticas y controles o conocer nuestra superficie de ataque. No obstante; el perímetro se difuminó y la superficie de ataque se volvió más compleja y hasta desconocida.
En países de nuestra región los medios de pago tradicionales prevalecían y el uso de plataformas en línea para casi todo, no se veía tan cercano.
La emergencia sanitaria nos llevó por el carril de transito rápido en la adopción de todo lo citado y mucho más. Durante este tiempo, la cosa ha cambiado sustancialmente.
- Los colaboradores y usuarios tienen acceso a múltiples canales de comunicación desde donde mueven información de sus actividades laborales.
- Operan desde dispositivos posiblemente desprotegidos (propios o de la empresa, pero poco gestionados), en los cuales almacenan y transportan información sensible.
- Los controles de seguridad para gestionar propiedad intelectual, secretos e información sensible quizá iniciaron su viaje a la virtualidad sin las mejores prácticas en la protección de la información, lo que ha dejado mucha información a su suerte.
- Quizá apenas aparecen analíticas mínimas que permitan a los departamentos de seguridad de la información –si existen-, la toma de decisiones.
- El nivel de alfabetización en ciberseguridad producto del esfuerzo organizacional mayormente es aún incipiente. Dan fe reportes de IBM (2014) y WEF (2022).
- El almacenamiento y transporte en ambientes domésticos con mínima protección de la información sensible en sus dispositivos.
En fin, podríamos continuar. Lo cierto es que el usuario ha sido el eslabón más débil de la cadena y con todo lo citado, se ven pocos avances y el caldo de cultivo no permite tener buenas expectativas.
Es crítico establecer y ejecutar tácticas que aborden y monitoreen todo lo que sucede con información sensible, dentro y fuera del perímetro, en tránsito o en reposo, mientras seguimos desarrollando concienciación en la organización.
Cada organización debe identificar su información sensible. La información sensible constituye todos los datos que pueden pertenecer a los colaboradores, socios comerciales, proveedores, clientes, cadena de suministro y usuarios que podrían significar un daño si fueran divulgados. Este tipo de información pueden originarse de todos los niveles dentro de la organización, por lo que controlar qué, quién, cómo, cuándo y dónde es accesada, se convierte en una tarea aun mayormente indispensable, aunque laboriosa y si se quiere; costosa.
Algunos tipos de información sensible comunes podrían ser: números de tarjetas de crédito, números de seguridad social, información personal como dirección y fecha de nacimiento, propiedad intelectual, información médica sensible, patentes, estrategias comerciales, información de clientes y/o información financiera sensible.
Debemos enfocarnos en construir una estrategia de seguridad que, además de ayudar a proteger la información sensible, establezca y fortalezca la gestión de identidad y la gestión de la información, propulse estrategias de cero confianza; que armonicen con los requerimientos del negocio y con las necesidades de control por parte de los equipos de seguridad de la información. Es decir; que permita mantener el control sobre las acciones que se ejecutan sobre la información sensible, con políticas personalizadas, procesos automatizados y datos ricos para apoyar la toma de decisiones.
¿Cómo conseguirlo?, no hay recetas únicas en este sentido. El viaje debe incluir eso sí, madurez en la definición de procesos y procedimientos, que coadyuven a detallar el viaje de la información, desde el mismo proceso de integración digital del usuario (onboarding).
Todo suma, desde seleccionar la solución que cumpla con las expectativas de la organización, la normativa aplicable y las regulaciones país, mientras minimiza la fricción y los cuellos de botella.
Debe disponerse la capacidad técnica y tecnológica para garantizar la protección eficaz y proactiva de la información; orquestando incluso procesos que no conciernen a un área de negocio puntual, sino que son de facto, procesos transversales.
La dinámica debe facilitar el descubrimiento, la auditoría y la protección automatizada de la información confidencial, almacenados en la nube o en premisa identificando dónde se encuentran los documentos confidenciales, proporcionando información sobre la cantidad, el tipo de archivos y sus atributos.
Con esta base podemos desarrollar evaluaciones y auditorías que clasifiquen los datos y los metadatos inspeccionando su contenido en busca de información confidencial, a la cual le automatizamos protección y respuesta, como el cifrado requerido, el inventario detallado del repositorio, supervisar los cambios en los archivos analizados en cuanto a políticas de protección, clasificación y protección de contenidos y acciones directas sobre los archivos como copiar, mover, borrar y cambiar de dueño sin quitar la encriptación de los archivos.
En este ejercicio y usando las tecnologías adecuadas –las hay y no pocas-, optimizamos y automatizamos de manera integral la gestión de la información, incluido el componente de gobierno de la información permitiendo la definición de políticas centralizadas para respaldar las capacidades de inspección en la nube y en premisa, al tiempo que ofrece un inventario rico en datos, acciones basadas en flujos de trabajo que van más allá de la protección de contenido y finalmente una capa de informes y análisis.
Aún nos falta mucho para hacer en materia de privacidad y confidencialidad…
Tomado de Marvin G Soto con permiso de su autor.
No hay comentarios:
Publicar un comentario