Opinión
GDPR: cómo controlar sus datos
Las amenazas de seguridad crecen constantemente. Kaspersky informó de 277.646.376 ciberataques maliciosos entre julio y septiembre de 2017, mientras Bitdefender aseguró que los pagos de ransomware alcanzaron un récord de 2.000 millones de dólares el pasado año. Con el GDPR endureciendo los requisitos de protección de datos para las empresas a nivel mundial, las organizaciones se enfrentan al desafío de responder a las amenazas que se vuelven más sofisticadas, ya que los grupos delictivos continúan encontrando métodos más rápidos y avanzados para romper los sistemas de seguridad de una compañía.
Al mismo tiempo, las organizaciones se encuentran en medio de una transformación digital que, en muchos casos, permite a los empleados trabajar de forma más flexible gracias a la migración a sistemas móviles y basados en la nube. Estos cambios están haciendo que los datos empresariales y de los clientes trasciendan el ámbito de la organización y se localicen más cerca del extremo de la red, haciéndola más susceptible a los ataques. Las empresas se ven presionadas para ser más ágiles y desplegar servicios innovadores más rápidamente, pero para soportar esta forma de trabajar y satisfacer las demandas de GDPR, su planteamiento de seguridad debe evolucionar en consecuencia. Esto será clave a medida que las empresas migren sus operaciones a la nube.
En lugar de bloquear sus operaciones en la nube, un movimiento que limitará su progreso, las empresas deben tomar medidas ahora para brindar a su equipo de TI mayor control y visibilidad a través de los datos de la organización, especialmente los de los clientes. Esto supone empoderar a TI para hacer cumplir rigurosamente las políticas en las aplicaciones de front end y back end de la empresa, y en todos los dispositivos de los empleados. Igualmente, los equipos de TI necesitan una visión general detallada del comportamiento de los usuarios para poder controlar las desviaciones de la norma u otra actividad sospechosa.
Sin embargo, obtener este nivel de control es una tarea cada vez más compleja, sin asistencia tecnológica, para cualquier individuo o equipo, especialmente en organizaciones más grandes. A la velocidad y escala en que los datos se crean y se comparten actualmente, el error humano es cada vez más común y, a menudo, es la razón que hay detrás de los principales ataques cibernéticos. Es por eso que la automatización es el siguiente paso natural en la forma en que las empresas administran su seguridad. Un sistema automatizado permite a los equipos de seguridad rastrear millones de operaciones a la vez, al tiempo que reduce drásticamente el riesgo de error.
Cuando se complementa con capacidades de Inteligencia Artificial (IA) y Aprendizaje Automático (Machine Learning), esto crea un centro de operaciones de seguridad que es capaz de entender cómo se debe ejecutar el bien y saber cómo se ve una desviación de esa norma. Con el tiempo, el sistema puede comenzar a gobernar y monitorizarse por sí mismo, volviéndose más rápido y más hábil para identificar patrones inusuales. Los ataques de seguridad solo se volverán más matizados, por lo que la mejor defensa será la capacidad de mediar y evitar incumplimientos antes de que ocurran.
GDPR marca un paso clave en el incremento de la regulación, pero de ninguna manera es el último. La mejor manera de mantenerse al tanto del cambio es crear un sistema que se pueda adaptar a los hábitos cambiantes de los clientes y la evolución de los controles de datos y de los métodos de fraude. Si bien no existe una disposición explícita en GDPR acerca de la tecnología exacta que las empresas deberían usar para proteger sus datos, el mejor modo de mantener su cumplimiento es detectar posibles incumplimientos antes de que ocurran, en lugar de tratar de probar que no fueron los culpables tras producirse el desastre.
En última instancia, la ignorancia no huirá en un mundo donde la protección de los datos del consumidor es de suma importancia para los gobiernos y el público en general, y donde un fallo podría derivar en abultadas multas. Con un sistema de seguridad moderno y automatizado que puede entender lo que está sucediendo en la organización y ayudar a cerrar proactivamente un ataque antes de que los datos se vean comprometidos, los equipos de TI tendrán buenas posibilidades de anticiparse a cualquier amenaza.
Mauricio Gumiel
Director del Área de Seguridad
Oracle Ibérica