Proteger el dato y explotar su valor de forma correcta son procesos que van unidos
Nos encontramos en un contexto en el que el nivel de madurez tecnológica respecto a la seguridad es muy alto. En el ámbito del Big Data, el dato debe ir siempre acompañado de medidas de seguridad.
Desde PUE tenemos claro que proteger el dato es un tema de alta criticidad para aquellas empresas a las que ayudamos a implantar este tipo de estrategias.
«Diseñar una estrategia para la explotación del dato, que además contemple la ciberseguridad, no solo es posible, es una obligación»,
Sergio Rodriguez de Guzman, CTO de PUE.
En este debate organizado por Computer World University, y moderado por Marlon Molina, analizamos la estrategia del dato y la ciberseguridad, en un momento en el que centrarse en el dato es clave para las empresas.
Con la participación de Juan Luis Garijo del Cura, Country Manager en CrowdStrike; Jose Luis Laguna Merino, Director Técnico para Iberia en Fortinet; y Sergio Rodriguez de Guzman Rodríguez, CTO de PUE.
Claves para asegurar y proteger el dato
El reto para las empresas es grande. No solo tienen que prevenir los ciberataques, también estar al día de las nuevas directivas y regulaciones del marco regulativo de la UE en materia de seguridad de la información. Coordinar los ritmos y velocidades entre cómo evolucionan los ciberataques, los cambios en la regulación y la capacidad de las empresas para adaptarse en tiempo, no siempre lleva al equilibrio perfecto. Pueden producirse gaps que dejan paso a los ciberdelincuentes.
Lo que está claro es que cumplir el marco legal y normativo es algo obligatorio, no opcional. Y las empresas son las primeras interesadas en proteger el dato y la información.
¿Cuántas veces has escuchado “mi información personal no es tan interesante para un ciberatacante”? Esa creencia supone un gran riesgo, puesto que nuestro teléfono está lleno de aplicaciones, personales y corporativas, que actúan como una pasarela directa hacia el dato de la compañía.
No sirve de nada gastar todo nuestro presupuesto en una puerta acorazada si los ladrones pueden entrar fácilmente por una ventana. Esto mismo ocurre cuando intentamos proteger el dato en nuestra organización. Si invertimos grandes cantidades de dinero en medidas tecnológicas que evitan que ciertos ataques se produzcan, pero hay, ni que sea, una sola puerta de entrada descuidada, todas esas medidas carecerán de valor.
Igual que las máquinas necesitan actualizaciones de seguridad, los usuarios también necesitamos estar actualizados en materia de ciberseguridad y no bajar nunca la guardia. Y es que, si realizas una inversión en un gran coche, ¿cómo no vas a preparar a quien lo conduce?
Hay ciertos estándares relacionados con la seguridad del dato que son aplicables a cada una de las organizaciones, como tener una buena base instalada o los sistemas operativos actualizados; pero dependiendo de cada casuística se puede adaptar a las necesidades y requisitos de cada organización.
Estas son algunas claves a tener en cuenta a la hora de establecer la mejor estrategia de seguridad y explotación de los datos:
- Para saber dónde llegar hay que saber en qué punto estamos
- La cultura de la ciberseguridad debe estar embebida dentro de la empresa
- Mantener actualizados los sistemas operativos
- Actuar con la mayor agilidad posible
- No dar por hecho que un proveedor de servicios va a hacerse cargo de todo lo relacionado con la ciberseguridad, ya que habrá que complementarlo
- Tener claro que la ciberseguridad es un proceso de mejora continua
- Contar con el partner adecuado
¿Cómo se incorpora la ciberseguridad en una estrategia de Big Data?
Todo empieza por una seguridad perimetral. Si bien es cierto que las plataformas de Big Data no están excesivamente expuestas, eso no quiere decir que haya que bajar la guardia. Dentro de la estructura de una plataforma Big Data estamos acumulando una cantidad ingente de información, lo que la convierte prácticamente en la cámara del tesoro.
A partir de esa seguridad perimetral entra toda la parte de autenticación, autorización y roles necesarios a la hora de acceder a la información.
Por otro lado tenemos la separación de responsabilidades. Es decir, que alguien sea administrador de una plataforma no quiere decir que pueda leer absolutamente todo. Lo adecuado es separar esas responsabilidades, de manera que siempre dispongas de, al menos, dos perfiles o roles diferenciados para gestionar una plataforma.
Y, por supuesto, no perder de vista que esto no se acaba nunca. La revisión constante y la mejora continua de la seguridad es fundamental para proteger el dato.
Rompiendo mitos acerca de la seguridad del dato
Hay que romper el mito de que lo que está en la nube ya está seguro. Hay que saber hasta dónde llega la responsabilidad de un proveedor de servicios en la nube y dónde empieza la de la empresa.
Es clave informarse muy bien acerca de este punto y cubrir con soluciones de terceros todo aquello que no nos está proporcionando nuestro proveedor cloud. El dato puede estar igualmente protegido o desprotegido independientemente de que resida en nuestra red o en la del proveedor cloud.
La ciberseguridad y proteger el dato es un estado mental que debe ser trabajado constantemente por todos los empleados de las organizaciones. No es un trabajo solo de los directivos o los técnicos.
¿Cómo conseguimos el balance entre el rendimiento, la fiabilidad y la seguridad de los datos?
Seguro y no seguro no es blanco o negro. Hay diferentes niveles y escalas entre un entorno nada seguro y otro de seguridad casi de grado militar. ¿Cómo conseguimos ese balance? Conociendo muy bien la información que tenemos.
Cuando hablamos de gestión de los datos, estos no están en la primera línea de batalla, sino que suelen estar en un entorno más restringido. A partir de allí, en función de los tipos de datos que solemos almacenar, podemos cifrar comunicaciones, limitar accesos, evaluar la confianza de las comunicaciones entre agentes y servidores, entre otros aspectos. Eso sí puede llegar a tener cierto impacto en el rendimiento.
Existen matices que nos permiten elegir hasta qué punto de seguridad quiero llegar o si quiero algo intermedio. Ya que si son datos meteorológicos, por ejemplo, no tienen la misma trascendencia que si son datos médicos.
En estos tiempos, donde el panorama de las ciberamenazas se ha recrudecido, es necesario definir las responsabilidades alrededor del dato desde el primer momento. Eso no quiere decir, por supuesto, que no se pueda incorporar a posteriori. Pero si se hace desde el minuto uno, muchísimo mejor.
Desde PUE te ayudamos a definir, planificar, desarrollar e implementar soluciones basadas en los objetivos y necesidades de tu proyecto y organización.