Opinión de Brad Jones*
Los riesgos de ciberseguridad plantean un desafío en constante evolución para las organizaciones. Dado que las violaciones de datos y los ataques de ransomware siguen ocupando un lugar destacado en las noticias, la protección de datos es una de las principales prioridades en todas las industrias, especialmente dado el aumento de almacenamiento en la nube, que alberga valiosos datos de la organización.
Las regulaciones de seguridad y privacidad de datos solo se volverán más complejas junto con repercusiones financieras más estrictas por el incumplimiento. Pero con las estrategias de protección adecuadas, como la clasificación de datos, las capas de infraestructura de seguridad, y el fomento de una fuerza laboral preocupada por la seguridad, las empresas pueden prepararse para lo que se avecina y mitigar su riesgo.
Clasificación completa de datos
Muchas organizaciones no entienden completamente dónde están todos sus datos, por lo que no es raro que los datos se pierdan u olviden. Sin una estrategia integral de clasificación de datos, las organizaciones pueden abrirse a los actores de amenazas que buscan sacar provecho de los datos valiosos y someterse a importantes multas de los reguladores por el mal manejo accidental de los datos. Al establecer estándares de clasificación de datos simples y claros, los equipos de toda la organización pueden hacer su parte para ayudar a mantener la privacidad y la seguridad de los datos.
Muchos proveedores de plataformas en la nube ofrecen funciones nativas para la clasificación de datos que pueden ayudar a mantener la privacidad, lo que permite a las empresas que operan en entornos de nube adoptar un enfoque proactivo para mantener el control de sus datos. Esto podría ser una etiqueta en un servidor o ubicación de almacenamiento asignada al nivel más confidencial de datos en una aplicación. Las organizaciones que se encuentran en las primeras etapas de su viaje a la nube deben incorporar la clasificación de datos en el diseño del sistema desde el principio y aprovechar todas las capacidades de la plataforma.
Arquitectura de seguridad sofisticada
Cuantas más capas de seguridad se implementen, más probable será que una organización logre mantener sus datos seguros. El cifrado de datos, por ejemplo, es un factor clave a considerar. Garantizar que los datos estén cifrados en reposo y que las claves se mantengan de forma segura, y no con los datos en sí, puede ayudar a garantizar la confidencialidad e integridad de los datos cuando fallan otros controles.
Otra estrategia por considerar es adoptar un enfoque de confianza cero, que elimina la suposición de que se puede confiar en cualquier cosa que opere dentro de la red de una organización. Para frenar la propagación del ransomware y aumentar la capacidad de una organización para aislarlo si penetra en la red, la validación constante es clave. Para ser efectiva, la validación debe ir más allá del usuario para considerar las aplicaciones y los datos a los que tiene acceso, los dispositivos que usa y la seguridad de las redes desde las que se une.
Educar y mejorar las habilidades de TI
Fomentar un sentido de colaboración en el que los equipos de seguridad y las partes interesadas de toda la organización trabajen juntos es otra clave para garantizar el cumplimiento. Los departamentos legales, los equipos de seguridad y los propietarios de datos de otros departamentos deben trabajar juntos para clasificar, administrar y proteger datos valiosos. A medida que los equipos recurren cada vez más a herramientas de seguridad automatizadas y adoptan nuevas tecnologías, se necesita capacitación adicional y capacitación del personal de TI para garantizar que los equipos entiendan cómo administrar de manera efectiva estas nuevas herramientas de una manera que mantenga la seguridad. Investigaciones recientes muestran que los líderes con la madurez multinube más alta en innovación basada en datos tienen 16,7 veces más probabilidades de ofrecer capacitación trimestral, lo que destaca la importancia de combinar herramientas y tecnología con inversión en habilidades.
Pero la seguridad no se detiene en el entrenamiento. Fomentar una fuerza laboral preocupada por la seguridad al educar a los empleados sobre cómo identificar posibles métodos de ataque es igualmente vital para proteger la red de una organización. Los actores de ransomware adaptan constantemente sus tácticas, técnicas y procedimientos, por lo que es esencial educar a los empleados sobre cómo proteger sus computadoras, redes e información.
A medida que continúan las amenazas cibernéticas y las regulaciones de seguridad se hacen más estrictas, la seguridad de los datos solo aumentará en importancia. Si bien evitar el riesgo y el cumplimiento siempre será lo más importante, los beneficios de la privacidad de datos van más allá de la reducción del riesgo. El establecimiento de procesos para la seguridad y privacidad de los datos permite eficiencias que abren la puerta a la innovación. Los sistemas y procesos comunes que vienen con buenas estrategias de privacidad y seguridad de datos permiten el intercambio de conocimientos en una organización, dando a los empleados acceso a la información que necesitan. Como resultado, los empleados usan los datos para desbloquear posibilidades de innovación, lo que en última instancia conduce a mejores resultados comerciales en general.
*Director de seguridad de la información (CISO) y vicepresidente de seguridad de la información, Seagate Technology
