Por Neil Thacker, CISO para EMEA de Netskope y Annabel Revuelta, Country Manager de Netskope México
En el complejo entorno empresarial de hoy impulsado por la fuerza de los datos, la seguridad de la información hace tiempo que dejó ser una prioridad para convertirse en una obviedad. De hecho, en este medio actual, y a la luz de realidades como el riesgo empresarial o el cumplimiento, el peligro al que se enfrentan los datos no radica en abandonar la organización, ya que a menudo residen fuera de las empresas propietarias, sino en algo mucho más grave. En un mundo cloud, es imperativo reconocer que Data Loss Prevention (DLP) y Data Protection (DP) no son sinónimos; es más, son enfoques muy diferentes y es en la Protección de los Datos donde debe hacerse foco.
¿Cómo hemos llegado hasta aquí?
Sin saberlo, aquellos CISO que en el pasado adoptaron la nube dentro de su compañía, se dirigieron hacia una tormenta perfecta al desplazar los datos fuera de las instalaciones mientras éstos crecían exponencialmente. Rápidamente se hizo evidente que las herramientas de seguridad tradicionales (en su mayoría dispositivos locales) no habían sido diseñadas para gestionar la infraestructura cloud. De hecho, cuando se les pregunta sobre el tema, muchos CISO reconocen su incapacidad para inspeccionar adecuadamente los datos y evaluar el riesgo a través de los servicios SaaS, PaaS e IaaS. De modo general, estos responsables esperan poder hacer lo suficiente con la seguridad nativa que reside dentro de la aplicación o la plataforma para cumplir con la regulación, pero no tienen la certeza de que estén haciendo todo lo necesario para atenuar el riesgo. Y esta mitigación es responsabilidad del CISO, no del proveedor cloud. Gartner lo expresa sin rodeos: “Hasta 2022, al menos el 95% de los fallos de seguridad en la nube serán culpa del cliente”.
Sin embargo, no solo la nube ha repercutido en mayores problemas para asegurar los datos: los CISO reacios a migrar a cloud tampoco poseen una mejor o mayor visibilidad de los mismos. De hecho, se enfrentan en una batalla constante contra Shadow IT, ya que, aunque la organización decida no adoptar la nube, los usuarios finales pueden tomar la postura contraria. En particular, los equipos de marketing y RR.HH. están activando los servicios en la nube en proyectos que se ejecutan con independencia de IT, y que trasladan los datos confidenciales fuera del perímetro empresarial. Estos grupos confían en los reclamos de seguridad nativa que integran las aplicaciones, los cuales solo se sostienen mientras el comprador no entienda adecuadamente los riesgos. No obstante, incluso estas compras dejan un rastro de papel dentro de la organización, solo hay que tener tiempo para encontrarlo.
Siguiendo por este sendero de sombras, menos visibles aún son las acciones de los usuarios de la organización que utilizan decenas de miles de servicios públicos en la nube. En octubre de 2018, una investigación descubrió que las empresas utilizaban una media de 1.246 servicios en la nube, la mayoría de los cuales no están autorizados por IT. El 92,7% de estos servicios no alcanzan las puntuaciones imparciales de “preparados para la empresa“. Los empleados que acceden a estos servicios ponen en riesgo a la empresa, incluso a un ritmo más rápido en el que los equipos de seguridad podrían bloquearlos y aunque ya hayan identificado lo que está sucediendo.
La Prevención de Pérdida de Datos no es la solución
Independientemente de si una organización ha saltado a la nube con entusiasmo, o si lo está haciendo arrastrada contra sus propias políticas, la realidad es que, hoy, todos estamos en la nube y cada vez con mayor fuerza. Por tanto, y partiendo de esta situación, no tiene mucho sentido hablar en estos momentos de DLP o de Prevención de Pérdida de Datos, ya que esto podría indicar en primer lugar que no estamos guardando los datos adecuadamente: al contrario, estos se encuentran en constante movimiento entre múltiples servicios, alojados en jurisdicciones geográficas dispares, siendo utilizados y analizados por múltiples partes tanto dentro de la organización como entre los socios, e incluso potencialmente informando a terceros sobre los sistemas de aprendizaje automático.
Por lo tanto, si vamos a dejar de centrarnos en prevenir pérdidas, en la búsqueda de agujeros en las paredes y, en su lugar, vamos a apostar por la protección de datos, debemos tener en cuenta varios aspectos:
- No podemos resolver los problemas de seguridad en la nube con soluciones o appliances modelados para un mundo muy diferente: Los datos en la nube necesitan ser protegidos por soluciones diseñadas desde y para cloud. Es vital, por tanto, contar con una protección de datos diseñada desde cero como un único motor, que permita asegurar tanto los datos móviles como remotos, y que se pueda aplicar a SaaS, IaaS, PaaS y Web.
- Las tecnologías actuales de protección de datos deben combinarse con el conocimiento de las amenazas. Un criterio adecuado puede ser seguir las directrices de la Cloud Security Alliance, organización que emite criterios objetivos para la evaluación de la seguridad de las aplicaciones y servicios en la nube.
- Recurrir a un Cloud Access Security Broker (CASB) para hacer frente a los riesgos derivados de los servicios en la nube. Un CASB proporciona visibilidad, cumplimiento, control de acceso granular, protección contra amenazas, prevención de fugas de datos y cifrado, incluso cuando los servicios en la nube están fuera de su perímetro y fuera de su control directo.