Proteger los datos contra invasores mientras se cumple la Ley General de Protección de Datos es un gran desafío para los CISOs. En los últimos seis meses, diversas empresas han sufrido con la violación de datos. Y el motivo es fácil de observar. El problema que se visualiza desde Varonis es que, la mayoría de las empresas, aún tiene un abordaje tradicionalista de la seguridad de la información, la cual es fallida y está desactualizada.
Los CISOs dedican mucho de su tiempo al foco en endpoints, perímetros y firewall, dejando en segundo plano la seguridad de los datos, hasta que suceda una violación.
Estas medidas de seguridad tradicionales, a pesar de mantener conformidad y tranquilizar la gestión, están enmascarando los problemas que quedan expuestos cuando sucede un incidente o inclusive cuando la ley de protección de datos exige un cambio de foco.
En dicho punto, poner en orden la seguridad de datos puede parecer una tarea ardua y difícil para saber por dónde empezar. Por eso, Varonis nos muestra por qué el abordaje tradicional es fallido, así como presentar un itinerario de ciberseguridad preciso y cómo implantarlo.
Los tiempos cambiaron
Al planificar y definir una estrategia para la protección de datos, muchas empresas tienden a la guía tradicional. Esta estrategia aborda la seguridad de afuera hacia adentro, con foco en dispositivos externos y trata de impedirles el acceso a los datos. Esto incluye la protección de endpoints, SIEM y Firewalls.
Este abordaje funciona por un tiempo, cuando las empresas almacenaban todos sus datos en sus propias máquinas, servidores gestionados localmente o en datacenters locales. Pero la forma en que las organizaciones crean, almacenan y acceden a sus datos cambió. Principalmente con el aumento del trabajo remoto e híbrido.
Hoy los datos se almacenan en diferentes sitios, nubes y SaaS. Todos protegiendo y procesando diferentes versiones de dichos datos. Por eso, esa guía tradicional no es más eficaz.
Un CISO no puede proteger los datos sin saber que un empleado de contabilidad inscribió al equipo en un SaaS no suministrado. Esto deja vulnerables a los datos y el abordaje tradicional no podrá hacer nada para proteger tales datos.
Más que un problema de tecnología
Frente a un escenario como este, la culpa no es enteramente del empleado de contabilidad. La organización está compuesta por humanos con sus propias prioridades, responsabilidades y fallas. Estas personas hacen elecciones sobre cómo desean trabajar y también con relación a los objetivos que deben o quieren alcanzar. Por eso, se hace necesario abordar la seguridad de datos como algo más que una demanda de tecnología.
En la mayoría de los casos, cuando hablamos de ciberseguridad, nos enfocamos en aplicaciones, bancos de datos y APIs. Lo que es una gran parte de eso, pero no muestra el cuadro completo. Las personas en su organización desempeñan un papel igualmente importante y muchas veces pueden representar todavía más riesgos que la tecnología.
Las políticas de privacidad son un excelente ejemplo. La firma de un documento no significa que una persona realmente va a adherir a esa política.
Otro problema es que grandes cantidades de datos se crean diariamente en todos los departamentos de una empresa y es necesario estar atento a lo que todos están creando, editando, almacenando y consultando.
Por ejemplo, un archivo con datos confidenciales, ¿cómo saber quién puede tener acceso a tal documento? El primer día, solo una persona puede tener acceso, estando en conformidad con la política de privacidad.
Entonces, esta persona comparte ese documento con un colega de equipo diferente, que a continuación lo comparte con un grupo más grande, sin saber que esas informaciones son confidenciales. Acto seguido, alguien del equipo usa estos datos en una presentación de ventas. En este punto no hay más conformidad con la política de privacidad.
Situaciones como esta pueden surgir fácilmente y pueden parecer imposibles de prevenir. El primer paso es entender que no existe una solución lista. La realidad es que la empresa seguirá generando nuevos datos, agregando gente y, lamentablemente, también irá retirando personas de los equipos.
Por eso, el manual tradicional no va a funcionar. Es necesario cambiar la táctica y adoptar un abordaje de datos, en primer lugar. O sea, identificar a los que ya están en riesgo para protegerlos e implementar estructuras y herramientas que hagan esto automáticamente.
Por Carlos Rodrigues, vicepresidente Latam de Varonis.
