Seguridad de los datos empresariales: prácticas recomendadas
Evolución para proteger las organizaciones complejas
La seguridad de los datos empresariales siempre ha tenido la misma razón de ser: proteger los datos confidenciales y asegurarse de que no terminaran en manos de personas no autorizadas. Sirve para prevenir las fugas de datos derivadas de ataques externos, de los errores de configuración o, incluso, de la mala praxis del personal interno.
Antes, cuando toda la información se alojaba en el centro de datos de una empresa, el personal de seguridad informática tenía una ubicación centralizada desde donde protegerla que era finita y más predecible. Sin embargo, la era en que la información residía solamente en los dispositivos de los usuarios y dentro del perímetro del centro de datos de las empresas ya es historia. De ahí que la seguridad de los datos empresariales haya tenido que adaptarse a medida que estos han ido desligándose de los dispositivos físicos y las ubicaciones controladas por la empresa.
¿Dónde están los datos empresariales ahora mismo?
En la actualidad, los datos empresariales se alojan en multitud de ubicaciones, como los dispositivos de los usuarios finales, centros de datos locales o varias nubes. Muchos usuarios tampoco utilizan ya aplicaciones de escritorio. De todo lo que escriben en una pantalla, lo único que sabemos a ciencia que está ocurriendo en el ordenador del usuario final son los golpes de teclado; lo más probable es que todos los datos residan en la nube.
Los datos, que antes eran algo estático y localizado en ubicaciones bien definidas y controladas por una empresa, ahora tienden a moverse de un entorno a otro y por distintas geografías. Hoy pueden estar, literalmente, en cualquier sitio, por lo que protegerlos es más difícil que nunca.
Cifrar los datos no basta para dar respuesta a las amenazas de hoy
Antes, la mayoría de las organizaciones pensaban que los hackers y otros personajes malintencionados eran, casi siempre, los culpables de las pérdidas de datos, así que cifraban los datos y listo. Lamentablemente, ahora sabemos que gran parte de las fugas de datos que sufren las organizaciones son achacables a fuentes internas, no externas.
El cifrado no le protege en caso de que un empleado con malas intenciones tenga acceso a todos los datos, por muy cifrados que estén. El cifrado le protege de terceros; si la persona responsable de la fuga trabaja en su organización o tiene acceso a los datos, no sirve de nada.
Qué datos proteger: esa es la cuestión
Quienes velan por la seguridad de los datos empresariales siempre han tenido dificultades para identificar qué datos son importantes y necesitan protección; problema que las empresas solían resolver creando reglas para ciertos formatos de datos y archivos. Las organizaciones iban refinando las reglas y creaban sus propias categorías para definir qué información era importante. Pero este procedimiento manual resulta insuficiente para la era moderna, en la que se crean datos sin parar y se comparten en diversas ubicaciones.
Ahora, gracias a la tecnología de aprendizaje automático (ML, por sus siglas en inglés), los datos confidenciales se identifican de manera más rápida y precisa y a mayor escala que nunca. El aprendizaje automático permite crear clasificaciones automáticas para los datos importantes. Además, la clasificación en sí ha ido evolucionando y, lejos de utilizar categorías creadas de forma manual para proteger los datos, se basa en el contenido de los archivos inspeccionados.
Gracias a la inspección del contenido, la tecnología de protección de datos ya no etiqueta el contenido en función de su origen o de algún atributo externo, como el nombre del archivo, sino que examina el archivo por dentro para saber qué es lo que contiene. El análisis del contenido lo lleva a cabo un modelo de aprendizaje automático que determina si el archivo inspeccionado contiene datos confidenciales que necesiten protección.
Aunque la clasificación de datos manuales puede seguir siendo útil, la inspección basada en el contenido ofrece a las organizaciones una metodología más automatizada, precisa y escalable.
La seguridad de los datos empresariales actual no se entiende sin las tecnologías DLP y SASE
La prevención de pérdida de datos (DLP, por sus siglas en inglés) es otro componente central de la tecnología de seguridad de los datos empresariales que también ha evolucionado a lo largo de los últimos años. La DLP moderna debería integrarse en la arquitectura de servidor perimetral de acceso seguro (SASE, por sus siglas en inglés) para fortalecer la seguridad empresarial.
¿Por qué es necesaria la tecnología SASE?
Cuando los datos están en todas partes y los usuarios se conectan desde cualquier lugar, los servidores SASE proporcionan una capa de seguridad que protege a las organizaciones, los usuarios y los datos por igual. La tecnología SASE conecta el acceso a las redes en la nube con los servicios de seguridad, lo que permite a los usuarios conectarse en cualquier momento y lugar sin que la seguridad empresarial corra peligro.
La protección SASE incluye prevención de amenazas, un agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés) y protección de datos. A su vez, los servidores SASE guardan una estrecha relación con las redes de área extensa definidas por software (SD-WAN, por sus siglas en inglés) y con el concepto de acceso Zero Trust (confianza cero) a la red (ZTNA). Por tanto, la prevención de pérdida de datos forma parte de un paquete de servicios más amplio que protege las interacciones de los usuarios en todas partes.
Más pasos para mejorar la seguridad de los datos empresariales
Los responsables de seguridad pueden tomar varias medidas para contribuir a mejorar la seguridad de los datos empresariales de su organización.
Concienciar a la dirección de la importancia de la seguridad de los datos empresariales. En la era digital, la seguridad y la privacidad de los datos es un asunto primordial que debería abordarse con la alta dirección y el consejo de administración en cualquier organización. Urge incluir este tema en la agenda, si es que aún no lo está.
Hacer que la seguridad de los datos sea cosa de todos. Proteger los datos de manera adecuada requiere el esfuerzo de toda la organización. Es muy recomendable tener una estrategia de protección de datos y algún tipo de comité directivo formado por miembros de distintos departamentos de la organización en el que se debatan los objetivos y se acuerde cómo proteger los datos teniendo en cuenta a toda la empresa.
Usar herramientas modernas. Las tecnologías de protección de datos creadas e implementadas hace un década ya no sirven para la realidad de los datos empresariales de hoy. Las organizaciones han de renovar su manera de abordar la protección de datos y utilizar las tecnologías más recientes. Los responsables de TI tienen que sustituir los sistemas locales antiguos por los de nueva generación. Ahora hay que fijarse en las soluciones de seguridad de los datos que utilizan la nube, la inteligencia artificial y el aprendizaje automático para proteger y clasificar los datos importantes de manera automática.
La viabilidad de casi cualquier empresa depende de los datos. Tal y como está la situación, no hay empresa que sea viable a medio y largo plazo si no protege los datos confidenciales ni se acoge a las tendencias de privacidad. Afortunadamente, el mercado ofrece distintas formas efectivas de hacerlo