EncuentrosSeguridad

Datos críticos: La nueva joya de la corona

¿Cuáles son los retos a los que se enfrentan las organizaciones alrededor de la protección del dato? ¿Qué modelos TI están aplicando al respecto? ¿Qué se recomienda a las compañías para definir una estrategia exitosa a largo plazo?

Muchas cuestiones han sido abordadas durante el encuentro que organizó Computing de la mano de IBM y Capgemini. Con la digitalización, el panorama en torno a los datos se ha revolucionado, dado el viaje masivo a la nube y a la movilización de los empleados. Las organizaciones ya no se hallan tranquilas en un feudo cerrado con siete llaves. Adrián López Jareño, Manager- Digital Advisor de Penteo, fue el encargado de pintar este nuevo panorama sobre el valor de los datos para las empresas dentro de los procesos de transformación digital. “Lo que vemos es que nuestros activos a proteger ya no son físicos. Se viene apreciando esta tendencia en los últimos años y, agravada con la pandemia, a medida que disminuye la inversión en infraestructura tradicional va aumentando la inversión en el cloud”.

En consecuencia, la nube es el marco donde concentrar los esfuerzos de la salvaguarda de la información. La complejidad crece porque se diluye el concepto de seguridad del dato dentro del perímetro de red clásico. Además, el nivel de conocimiento de los responsables de seguridad de las compañías es mejorable y la componente multicloud es una tendencia imparable que añade más incertidumbre. “Los diferentes entornos cloud se contratan con distintos proveedores, por lo que la correcta orquestación es otro reto añadido”, puntualiza el experto de Penteo.

Y a este cóctel explosivo hay que añadir la pervivencia de los sistemas legacy, todavía hay mucha reticencia para subirlos a la nube, como es el caso de los sistemas industriales. “Vamos a tener una miscelánea de escenarios donde convivirán entornos on premise con la nube. Dentro del cloud, habrá entornos multicloud donde se habilitará la creación de multiplataformas digitales, que son las que nos permitirán crear ecosistemas abiertos para la integración e interconexión de nuestros aplicativos y nuestros datos del exterior. Esto genera una gran dispersión sobre dónde están nuestros datos y se agrava con la seguridad delegada en terceras partes, donde la responsabilidad de la protección recae en el cliente y no en estos proveedores”, retrata el analista completando el círculo vicioso.

GDPR incentivó que se hayan abordado muchos proyectos de ciberseguridad y protección del dato 

Desde su punto de vista, las medidas que deben aplicar las compañías pasan por la concienciación en materia de ciberseguridad, un término muy repetido como un mantra, pero es importante recalcarlo: “Una concienciación que debe ir de arriba hacia abajo. Desde los Comités de Dirección hasta los arquitectos y desarrolladores que deben embeber la seguridad en el diseño de los modelos de datos de la compañía, hasta el último empleado que debe estar entrenado para evitar malas praxis en esta materia”. Adrián López considera crucial el compromiso de la Dirección para que salga adelante esta estrategia y permita el éxito de los negocios. Hay que diseñar modelos formales de gestión del gobierno del dato y en materia de ciberseguridad. Un estudio de Penteo señala que existe un bajo nivel en España de estos marcos normativos formalizados, basadas en mejores prácticas, como puede ser la ISO 27001.

En tercer lugar, la inversión es una piedra angular, “algo que históricamente se consideraba como un coste añadido; se construían los productos y luego había que securizarlos. La entrada en vigor de normativas como GDPR incentivó que, a partir de mayo de 2018, se hayan abordado muchos proyectos de ciberseguridad y protección del dato. Fue positivo porque la ciberseguridad pasó a ocupar un lugar en los Comités de Dirección, ya que la aplicación de este reglamento recaía sobre ellos”. Como resultado de todos estos factores, el rol del CISO tiene que acaparar mayor protagonismo, algo que se aprecia en las grandes compañías, y no así en las pequeñas, donde no existe un responsable de ciberseguridad. “El CISO debe verse como un facilitador, como un partner para TI y para negocio, propiciando que los sistemas sean seguros, pero sin convertirse en un stopper, lo cual a veces puede degenerar en el shadow IT”, opina el experto.

En último término, el analista de Penteo muestra su optimismo, pues se observa una tendencia favorable, dado que la mayoría de las compañías que han aumentado sus presupuestos lo han hecho en un 38%, mostrando un grado de concienciación mayor.

Accede al reportaje completo en PDF

Computing 805