Los equipos de seguridad han tenido desafíos sobre por dónde empezar con la gestión de datos durante varios años. Es algo muy evidente cuando se habla con los clientes empresariales sobre la seguridad y cómo abordan la gestión de sus datos desde el punto de recopilación hasta el final de su vida útil. Y es especialmente pertinente ya que continúan enfrentándose a las amenazas causadas por las tensiones geopolíticas y los malhechores que lanzan ataques de fuerza bruta, phishing, ransomware o «almacenar hoy, descifrar más tarde» en los que el tráfico se intercepta y descifra cuando se dispone de computación poderosa.
A pesar de esto, las empresas se adormecen con una falsa sensación de seguridad cuando se trata de comprender los estándares de seguridad de la información, el cumplimiento normativo, las mejores prácticas de gestión de datos y la adopción de herramientas de seguridad. Han llegado a una etapa en la que recopilan y conservan casi todos los datos que recopilan. Muchos de esos datos tienen un valor significativo, ya sea que ayuden a mejorar los procesos comerciales o abran nuevas oportunidades comerciales para brindar nuevos servicios a los clientes. Pero a medida que crece el volumen de datos, también crece la superficie de ataque potencial y la complejidad de administrar esos datos a lo largo de todo su ciclo de vida.
Aquí es donde las empresas se quedan cortas en el fortalecimiento de su postura de seguridad. Piensan en los datos al final de su vida útil, desinfectándolos cuando, por ejemplo, han pasado períodos de retención o un cliente ha invocado su derecho al olvido. Sin embargo, no piensan en la desinfección y su uso repetido a lo largo de todo el proceso de gestión del ciclo de vida de la información.
La clasificación de datos maduros nos ayuda a comprender mejor la retención
Las empresas se centran cada vez más en la gestión de metadatos de sus vastos conjuntos de información, creando catálogos de datos para proporcionar un inventario organizado de los activos de datos que poseen. Quieren derivar inteligencia de esa información para informar la toma de decisiones y sistemas dinámicos de poder que incorporan inteligencia artificial (IA) y aprendizaje automático (ML). Sin embargo, los modelos de clasificación todavía están en una etapa relativamente temprana.
Esto crea una situación de mala higiene de datos, donde la información puede permanecer intacta durante años antes de que se considere que ha llegado al final de su vida útil y, posteriormente, se desinfecta. El desarrollo de una estructura más integral para la clasificación de datos mediante la determinación del valor de un dato, su perfil de riesgo o su nivel de sensibilidad puede mejorar la comprensión del período de retención de datos, informando así la política de datos para ayudar a mitigar el riesgo y reducir la superficie de ataque para un posible incumplimiento. Eso significa determinar desde el principio que los datos deben desinfectarse después de un tiempo establecido y a través de una política establecida, en lugar de esperar hasta que se elimine el activo en el que se encuentran.
Del mismo modo, al pensar en el ciclo de vida de la información desde el principio, las empresas pueden tomar decisiones rápidas sobre si deberían tener esos datos y, de no ser así, deberían borrarlos de inmediato con un certificado que demuestre que el borrado se ha realizado correctamente. Si los datos solo se han retenido como parte de un proyecto, cuando ese proyecto termine, el equipo debe eliminarlos de la infraestructura bajo el mando de esa organización. Clasificar los datos de forma adecuada puede proporcionar información procesable para reestructurar las políticas y ayudar a los empleados a comprender mejor el proceso de gestión del ciclo de vida de la información.
El cifrado es genial… hasta que deja de serlo
Los equipos de seguridad pueden decir que todos sus datos han sido encriptados, por lo que están seguros contra una posible violación. Y sí, aunque podemos confiar en el cifrado para mantener la información segura, los ataques más sofisticados van en aumento. Con el tiempo, las computadoras más avanzadas podrán eliminar las claves de los datos en cuestión de minutos. Simplemente no funcionará a largo plazo y las empresas deben ser proactivas al establecer el valor de los datos para determinar qué necesitan borrar a través de procesos verificados con registros de auditoría para proteger los resultados finales.
Además, si combinamos el cifrado con procesos que no borran la información de forma permanente, como métodos arcaicos como la desmagnetización para desinfectar el equipo de TI y el almacenamiento, entonces no tenemos garantía de que la información cifrada no se pueda obtener mediante análisis forense y descifrarse más tarde.
Los estándares y el cumplimiento no son lo mismo
Las empresas también deben pensar en los estándares y el cumplimiento indistintamente. Si bien es una mejor práctica adherirse a los estándares y cumplir con las regulaciones de protección de datos cuando se trata de mantener la privacidad de los datos a lo largo del ciclo de vida de la información, los estándares son pautas delineadas por una agencia gubernamental y no garantizan el cumplimiento normativo. El cumplimiento normativo, por otro lado, es la adhesión de una organización a las leyes, reglamentos, directrices y especificaciones, en relación con los procesos de negocio. El incumplimiento de las normas puede dar lugar a multas y sanciones legales. Cuando se trabaja a través de las fronteras, es importante comprender esta diferenciación, ya que necesitaremos cumplir con los estándares y regulaciones cuando operemos en ciertas jurisdicciones.
Los socios certificados pueden ayudar a simplificar la complejidad aquí. Las agencias gubernamentales pueden certificar las soluciones de seguridad, asegurando que el uso de dichas herramientas logre el cumplimiento de las normas y estándares. Del mismo modo, podemos incorporar estos requisitos en políticas organizacionales para abordar cualquier problema potencial que suponga una brecha de seguridad. Al hacerlo, las empresas implementarán medidas preventivas contra los riesgos. Pensar repetidamente en todo el ciclo de vida de la información y administrarlo adecuadamente para mantener en orden el centro de datos de una empresa es un método que se promueve y garantiza que se cumplan las leyes.
Cuando se trata de la gestión de datos, nunca utilizamos un enfoque de «uno y listo». Las empresas no deberían almacenar datos para un día lluvioso. Desde la adquisición de datos, pasando por el uso de la información hasta su eliminación con seguimiento de auditoría certificado, se garantiza que la mayoría de las empresas necesiten practicar una buena higiene cibernética establecida por las leyes y normas. Es imperativo evaluar el valor de los datos a través de un modelo estricto de clasificación y comprender su período de retención para mitigar las amenazas. Piense en la gestión de datos como un viaje, no como un destino. Y, en última instancia, los datos que no tienen valor a menudo se convierten más en una responsabilidad que en un beneficio.
Mauricio Ueunuma, vicepresidente, gerente general, América, Blancco