Por Brad Jones, director de Seguridad de la Información (CISO) y vicepresidente de Seguridad de la Información, de Seagate Technology.
Con el gran crecimiento de los datos que las empresas almacenan y recopilan en todos los sectores, la privacidad y la protección de datos han aumentado en prioridad. El aumento masivo de datos que resulta en más uso de modelos multinube e híbridos significa que las organizaciones deben reconsiderar su enfoque de privacidad y protección de datos o arriesgarse a un gran desafío de seguridad. Un entorno de almacenamiento de datos local tradicional significa que solo unos pocos miembros del equipo controlan un cortafuegos que evita que los adversarios expongan información confidencial. Pero un entorno multinube requiere nuevas capas de barreras y pautas. Incluso un pequeño error de configuración podría significar que un empleado está a un clic accidental de exponer una base de datos completa, lo que puede resultar en escrutinio regulatorio, repercusiones financieras y daños a la reputación.
Pero con la combinación correcta de procesos como la clasificación integral y varias capas de seguridad, la nube puede ser más segura que el almacenamiento local. Si bien la privacidad de los datos a menudo se prioriza teniendo en cuenta la reputación corporativa, también ayuda a las empresas a crear lugares de trabajo eficientes que desbloquean la innovación que puede proporcionar una ventaja comercial crítica en el desafiante entorno competitivo actual.
¿Por qué las empresas necesitan una estrategia integral de clasificación de datos?
Las empresas crean y almacenan grandes cantidades de datos, y es fácil que los datos se pierdan u olviden. Las empresas solo pueden proteger los datos que conocen, por lo que establecer una estrategia de clasificación de datos es un primer paso importante para obtener el control de los datos de la organización y mantenerlos a largo plazo.
Algunas organizaciones no entienden completamente dónde están todos sus datos, y mucho menos cómo deben clasificarse. Muchos proveedores de plataformas en la nube ofrecen funciones nativas para la clasificación de datos que pueden ayudar a mantener la privacidad, lo que permite a las empresas que operan en entornos de nube adoptar un enfoque proactivo para mantener el control de sus datos. Esto podría ser una etiqueta en un servidor o una ubicación de almacenamiento asignada al nivel de datos más confidencial que hay en una aplicación.
Las organizaciones que se encuentran en la etapa inicial en el uso nube deben incluir la clasificación de datos en el diseño y aprovechar todas las capacidades de la plataforma. Aquellos que ya operan en la nube deben comprender qué características aún no están aprovechando y planificar para maximizar el control.
A lo largo del proceso de clasificación, es importante fomentar una estrecha colaboración entre los equipos de seguridad y los departamentos multifuncionales que también manejan datos confidenciales. Desarrollar un sistema de clasificación integral es difícil y requiere el apoyo total de la empresa para que sea efectivo.
¿Cómo una arquitectura de varias capas impulsa una mayor seguridad?
Cuantas más capas de seguridad se implementen, más probable será que una organización logre mantener sus datos seguros. El cifrado de datos, por ejemplo, es un factor clave a considerar. Garantizar que los datos estén cifrados en reposo y que las claves se mantengan de forma segura, y no con los datos en sí, puede ayudar a garantizar la confidencialidad e integridad de los datos cuando fallan otros controles.
La adopción de un enfoque de confianza cero eliminará las suposiciones de que se puede confiar en cualquier cosa que opere dentro de la red de una organización. Para ralentizar la propagación del ransomware y aumentar la capacidad de una organización para aislarse en caso de que penetre en la red, la validación constante es clave. Para ser efectiva, la validación debe ir más allá del usuario para considerar las aplicaciones y los datos a los que tiene acceso, los dispositivos que usa y la seguridad de las redes desde las que se une.
El caso de negocios para la privacidad de datos
A las organizaciones a menudo les preocupa que el aumento de los controles y procesos genere retrasos e impida el libre flujo de las operaciones de datos, por lo que muchas solo priorizan los controles mínimos de privacidad de datos que cumplen con las normas de cumplimiento y reducen el escrutinio y las repercusiones financieras. Sin embargo, los beneficios de la privacidad de datos van más allá de la reducción de riesgos. El establecimiento de procesos para la seguridad y privacidad de los datos permite eficiencias que desbloquean la innovación. Los sistemas y controles comunes que vienen con buenas estrategias de privacidad y seguridad de datos ayudan a permitir el intercambio de conocimientos en una organización, brindando a los empleados acceso a la información que necesitan. Luego, los empleados pueden usar los datos para desbloquear posibilidades de innovación, lo que en última instancia conduce a mejores resultados comerciales en general.