El futuro de la clasificación y el descubrimiento de datos: preguntas y respuestas con Cyera y Forrester

Recientemente organizamos un seminario web con la ponente invitada Heidi Shey. Continuamos la conversación pidiéndole a Heidi su opinión sobre el panorama de la seguridad de datos y sobre enfoques para mejorar la postura de seguridad de datos de una empresa.

P: ¿Cuáles son los principales desafíos que enfrentan las empresas con el descubierto y la clasificación de datos para tecnologías en la nube?

Un reto clave es delimitar el alcance de los entornos en la nube —SaaS, IaaS y PaaS— que son relevantes para el negocio. Es importante definir los entornos que pueden impactar la generación de ingresos, la protección de ingresos o ambas.

El siguiente desafío es alinear los requisitos del entorno en la nube definido con lo que los proveedores de tecnología pueden abordar. Las empresas deben definir claramente sus requisitos para asegurarse de que puedan alinear sus necesidades con las herramientas adecuadas para satisfacerlas. ¿Existen tipos específicos de repositorios y plataformas de datos en la nube que la empresa necesite que estas tecnologías cubran? ¿O un enfoque particular en datos no estructurados versus datos estructurados, o ambos?

Un tercer gran desafío es la proliferación de capacidades. Es posible que ya cuenten con múltiples tecnologías dentro del entorno empresarial que pueden descubrir y clasificar datos. Algunas capacidades pueden superponerse, mientras que otras están aisladas. Cuando esto sucede, obtener una vista unificada de todo su entorno resulta difícil y engorroso.

P: ¿Cuál es el papel de la inteligencia artificial (IA) y el aprendizaje automático (ML) en el futuro de la seguridad de datos?

La IA y el ML en la seguridad de datos son prometedores de varias maneras. El futuro ya está aquí en algunos lugares y, con el tiempo, se convertirán en un componente estándar de ciertas soluciones tecnológicas. Desde la perspectiva de la clasificación de datos, podemos esperar que la IA y el ML ayuden con el aprendizaje continuo y la automatización para mejorar el rendimiento. Por ejemplo, una clasificación de datos sólida con IA y ML podría clasificar con mayor precisión datos que antes eran difíciles de identificar, como la propiedad intelectual u otros datos corporativos sensibles que son exclusivos de una organización. 

Para la seguridad de los datos en general, más allá de ayudarnos a comprender nuestros datos, la IA y el ML también pueden ayudar a habilitar decisiones y políticas más inteligentes sobre qué hacer con los datos y cómo protegerlos. Por ejemplo, automatizar las respuestas a la detección de anomalías y amenazas, informar acciones de respuesta DLP basadas en riesgos e identificar cuándo iniciar un flujo de trabajo de respuesta automatizada en lugar de escalar un problema a una persona para su investigación.

P: ¿Cómo puede una empresa evaluar la eficacia e impacto de tecnologías emergentes de seguridad de datos automatizada, como la gestión de posturas de seguridad de datos y el DLP en la nube?

Pon a prueba la tecnología, empezando por lo que ya sabes con certeza sobre los datos sensibles en tu entorno. Idealmente, esta prueba también debería arrojar luz sobre algunos de los desconocidos en los repositorios y los datos sensibles. Ver la tecnología en acción te ayudará a evaluar su eficacia y desempeño para identificar datos sensibles y su capacidad para resaltar y priorizar los riesgos relevantes para esos datos. No des por hecho que, porque una capacidad parezca estar comoditizada o parecer superponerse entre muchas herramientas, esa capacidad funciona igual en todos los proveedores.

Si bien esta visibilidad inicial y comprensión sobre los datos y los riesgos de datos es valiosa, lo que viene después es lo que te ayuda a lograr un resultado para un caso de uso en particular. Determina qué capacidades de remediación están disponibles y qué nivel de automatización existe realmente, y qué se requeriría para automatizar un flujo de trabajo de respuesta. Esto incluye evaluar qué sucede después de que se realiza una acción automatizada y, si corresponde, el nivel de participación que se requiere de una persona para lograr los resultados que esperas obtener con el uso de la tecnología.

P: A medida que los equipos de seguridad adaptan sus procesos y controles a entornos en la nube, ¿cuál es el mejor consejo que puede ofrecerles para equilibrar los controles proactivos y la resiliencia, con la respuesta en tiempo real y la capacidad de ser receptivos a las necesidades del negocio?

Reconoce que estás operando dentro de un sistema. Debes abordar y pensar en los controles y la mitigación de riesgos en todo el sistema. Los controles de seguridad centrados en los datos que implementes son solo una parte de ese todo, y no todas las exposiciones representan el mismo nivel de riesgo ni pueden tener el mismo nivel de impacto. Con este sistema, estás viendo

1) estrategia de privacidad y esfuerzos de minimización de datos en la parte inicial, donde y cuando ocurre la recopilación de datos, 

2) los controles de seguridad que habilites y que se apliquen a los entornos de infraestructura en la nube donde se procesan y almacenan los datos, y

3) controles de acceso que implementas para tu personal, socios y clientes. 

Probablemente no tengas el tiempo, los recursos ni el presupuesto para abordar todo. Es fundamental comprender qué datos son sensibles, dónde se encuentran y cómo necesitan los empleados acceder a ellos y utilizarlos. Esto ayudará a priorizar tus controles, así como a identificar los controles adecuados en los que enfocarte, que mitigarán los riesgos más grandes.

P: ¿Qué oportunidades existen para que los equipos de seguridad colaboren con sus contrapartes de negocio y las habiliten para aprovechar los datos de forma segura?

Una oportunidad es reunir a las partes interesadas de toda la empresa para definir cómo la compañía entiende la "data" y el valor que esa data representa para la empresa. Esto amplía tu visión de lo que constituye data y valor sensibles para que puedas priorizar las protecciones. Por ejemplo, la data puede ser código fuente, fotos, algoritmos, datos de sensores de IoT y más. 

Y también, quítate por un momento el sombrero de seguridad. Acepta la necesidad de tus contrapartes de negocio de usar datos, entiende por qué y cómo los usan y de dónde provienen esos datos. A fin de cuentas, los datos tienen valor cuando se usan. Comprender el recorrido que siguen los datos en tu entorno empresarial te ayudará a identificar mejor los puntos de ese recorrido —desde el acceso, pasando por el uso, hasta el final de su ciclo de vida útil— donde puedes y debes aplicar controles.