Octubre 24, 2018

¿Cuál es la mejor manera de proteger los datos críticos dentro de un negocio?

Richard Ford Chief Scientist

Vayamos directo al grano: las empresas tienen un desafío enorme con la protección de datos críticos. ¿Por qué?

No solo lo sufren las empresas que manejan información compleja como proveedores de atención médica o servicios financieros ¡no! Todos los negocios se ven afectados debido a las facilidades actuales que tienen los usuarios de compartir la información a través de las redes sociales, además de la gran cantidad de datos que normalmente se puede encontrar en la Internet. Si usted como persona tiene vida crediticia, no se imagina la cantidad de información que existe sobre usted en la red.

Pongamos un ejemplo, el incumplimiento de la agencia de informes de crédito Equifax del 2017, en Estados Unidos, expuso a 143 millones de consumidores estadounidenses. Del mismo modo, en septiembre del 2018, la violación más grande en la historia de Facebook expuso la información personal de casi 50 millones de usuarios. En la sociedad actual, incluso si no estás conectado a la red, tienes la posibilidad de “aparecer” como resultado de alguna búsqueda.

Dada la falta de buenas opciones para los consumidores, los usuarios finales se encuentran en la posición poco envidiable de no tener más remedio que confiar en las empresas por las que pasan sus datos. De manera similar, sin embargo, estas empresas también tienen la “necesidad” de confiar (o desconfiar) de aquellas personas, dispositivos, sistemas e infraestructura que conforman el entorno de la tecnología de la información, en general.

Eso es mucha confianza, y de hecho es parte del desafío. Si bien las personas, los dispositivos, los sistemas y la infraestructura pueden tener diferentes prioridades, agendas y debilidades, las empresas tradicionalmente han caminado por una cuerda floja sin mucha seguridad cuando se trata de confianza. Eso es un error, ya que la confianza puede ser un aliado poderoso en nuestra búsqueda de relaciones mejores y más seguras entre el proveedor y el consumidor.

Cuando te encuentras con alguien socialmente y los conoces, la mayoría de nosotros nos basamos en esas conversaciones iniciales para descubrir qué tan confiable es alguien. Sin embargo, esa confianza es situacional. Es posible que confíe en su nuevo amigo para que lo lleve a cenar, pero no confíe en ellos (aún) con las llaves de su automóvil. No se trata solo de determinar si una persona es "buena" o "mala", sino si es probable que realicen una acción en particular de manera confiable o no. Por ejemplo, es posible que sepas que alguien tiene buenas intenciones pero que es muy torpe. Puede que no confíes en esa persona torpe con tu cristal más preciado, aunque sean honestos, confiables y amables. No es que sean malos ... son malos con cosas frágiles. Es una diferencia sutil pero importante: no es solo que confías en alguien, sino que confías en alguien con respecto a una acción en particular.

Ahora comparemos esto con la forma en que vemos la confianza con respecto a la informática. Aquí, los defensores a menudo aplican un alto grado de pensamiento "adentro / afuera" en la línea de "lo que está dentro es bueno y lo que está afuera es malo". Una vez que inicie sesión en un equipo de una empresa X, se me da bastante libertad dentro de mis derechos otorgados. Hay algunos controles y balances: los programas de amenazas internas, por ejemplo, tratan de identificar a aquellos que son un peligro para la organización. Sin embargo, el paradigma general es uno de confianza o desconfianza, que no tiene mucho en el medio. Es lo mismo con las máquinas: una vez que una máquina se coloca en la red, generalmente confiamos en ella por completo. Este tipo de "confianza" no es en absoluto confiable, porque no es situacional, es un sistema basado en privilegios más ligados a "permitir o negar" ... y es fácil de explotar para un atacante. Esencialmente, al descontextualizar la confianza y reducirla a una puntuación de todo o nada, permitimos que cualquier persona que ingrese a ese dominio de confianza haga lo que quiera: el desafío para el atacante se reduce a cómo llegar a la puerta.

El camino a seguir es bastante claro: la adopción amplia de una confianza específica y sensible al contexto es el enfoque correcto. Además, este modelo contextual de confianza debe aplicarse a más que solo personas en programas específicos: a todas las entidades que interactúan con un sistema, así como al propio sistema.

La única solución a largo plazo para la gestión de datos es abrazar esta arquitectura contextual basada en la confianza de una manera consistente y amplia. Alejarse de la mentalidad “adentro / afuera, buena / mala” ya ha comenzado (los análisis de comportamiento son un primer paso muy necesario y pueden ser muy efectivos para detectar los abusos de la confianza otorgada), y debe ser alentado. Lo que se necesita a continuación es reconocer que la confianza viene en grados y utilizar este concepto de confianza contextual para ofrecer políticas de ciberseguridad que se adapten al riesgo. El mundo realmente es sobre tonos de gris; tratarlo de esa manera nos permitirá proteger los datos que son más importantes para nosotros.

Acerca de Forcepoint

Forcepoint es la compañía líder en ciberseguridad de protección de datos y usuarios, encargada de proteger a las organizaciones a la vez que impulsa la transformación digital y el crecimiento. Nuestras soluciones se adaptan en tiempo real a la manera en que las personas interactúan con los datos, y proporcionan un acceso seguro a la vez que permiten que los empleados generen valor.