Garantizar la seguridad de los datos y protegerlos contra atacantes mientras se cumple con las leyes de privacidad es un desafío importante para cualquier CISO. Se siente como si estuvieras andando en bicicleta al mismo tiempo que participas en un combate de boxeo.
Y tu no estás solo. Varias marcas conocidas han sufrido violaciones de datos de alto perfil solo en los últimos seis meses. Y el mayor problema que enfrentan estas empresas es que el enfoque tradicional de la seguridad de los datos es defectuoso y está desactualizado.
A menudo vemos a un CISO dedicar todo su tiempo a centrarse en puntos finales, perímetros y firewalls, solo para que la seguridad de los datos pase a un segundo plano. Hasta que se produzca un incumplimiento.
Las medidas de seguridad tradicionales pueden mantener el cumplimiento y tranquilizar a la gerencia, pero en realidad solo enmascaran los problemas hasta que ocurre un incidente o hasta que las regulaciones de seguridad de datos como LGPD y GDPR lo obligan a cambiar de enfoque. En este punto, poner en orden la seguridad de sus datos puede parecer una tarea desalentadora y es difícil saber por dónde empezar.
En este artículo, responderemos a las siguientes preguntas:
- ¿Por qué los CISO luchan por abordar la seguridad de los datos?
- ¿Por qué el enfoque tradicional de la ciberseguridad es defectuoso y arriesgado
- ¿Cómo funciona la hoja de ruta de seguridad de datos de Varonis que utilizamos para ayudar a más de 7000 CISO y cómo implementarla en su organización
Al final, detallamos un plan viable para proteger sus datos, siguiendo una hoja de ruta que hemos perfeccionado a lo largo de nuestros quince años en ciberseguridad.
Los tiempos están cambiando
A la hora de planificar y definir su estrategia de ciberseguridad, la mayoría de las empresas suelen seguir pautas comunes. Esta guía aborda la seguridad desde afuera hacia adentro, centrándose en los dispositivos externos e intentando evitar que accedan a sus datos. Esto incluye funciones como protección de terminales, SIEM, prevención de pérdida de datos y firewalls.
Y este enfoque fue efectivo por un tiempo. Cuando el equipo almacenó todos los archivos y datos en sus propias máquinas, servidores administrados localmente o centros de datos locales. Pero la forma en que las organizaciones crean, almacenan y acceden a los datos ha cambiado significativamente en los últimos años.
Actualmente, sus datos se almacenan en diferentes ubicaciones, en la nube y aplicaciones SaaS. Todo alojamiento y procesamiento de diferentes versiones de su información. Por lo tanto, esta estrategia ampliamente utilizada ya no es suficiente para proteger sus datos.
Como CISO, no puede garantizar la seguridad de los datos si no sabe que John, de contabilidad, contrató una aplicación SaaS no aprovisionada. Esto hace que sus datos sean vulnerables y el enfoque tradicional no puede hacer nada para resolver el problema.
Más que un simple problema tecnológico
Sin embargo, esto tampoco es enteramente culpa de John: su organización está llena de personas con sus propias prioridades, responsabilidades y defectos. Toman decisiones que coinciden con la forma en que quieren trabajar y los objetivos que intentan alcanzar. Por eso es necesario abordar la seguridad de los datos como algo más que una simple cuestión tecnológica.
La mayor parte del tiempo, cuando hablamos de ciberseguridad, nos centramos en aplicaciones, bases de datos y API, lo cual es una gran parte, pero no describe el panorama completo. Las personas de su organización desempeñan un papel igualmente importante y, a menudo, pueden representar más riesgos que la tecnología. Las políticas de seguridad son un gran ejemplo.
Toda empresa sabe que debe tener políticas de seguridad y la mayoría de estas políticas sirven para cumplir con estándares y regulaciones. Pero el objetivo rápidamente pasa a ser crear documentos en lugar de implementar políticas efectivas. Y como todo CISO sabe, el hecho de que obligue a alguien a firmar un documento no significa que realmente cumplirá con la política.
Otro problema al que se enfrentará es que su empresa crea enormes cantidades de datos todos los días. Por lo tanto, intentar estar al tanto de todo lo que se crea, almacena, accede, etc. se convierte en un ejercicio interminable. Por ejemplo, si tienes un expediente con datos confidenciales, ¿cómo sabes quién puede acceder a ese documento? El primer día, podría ser solo una persona con acceso, lo que garantiza que las políticas y regulaciones se sigan correctamente.
Pero luego ese archivo se comparte con un colega de otro equipo. Luego lo comparte con un grupo más grande, sin saber que contiene datos confidenciales. Luego, alguien de ese grupo utiliza algún contenido para una presentación de ventas. De repente, el cumplimiento ha sido completamente ignorado y la información está en riesgo .
Esto puede parecer una hipérbole, pero no lo es. Estas situaciones surgen con tanta facilidad que pueden parecer imposibles de predecir.
El primer paso para resolver este problema es comprender que no existe una solución ya preparada (por mucho que nos gustaría que la hubiera). La realidad es que su empresa seguirá creando nuevos datos, contratando nuevas personas y, lamentablemente, despidiendo a otros.
En lugar de apegarse a un enfoque antiguo y esperar que las cosas funcionen, es necesario cambiar de táctica y adoptar un enfoque que dé prioridad a los datos. Esto significa identificar datos que ya están en riesgo, proteger esa información e implementar marcos y herramientas para protegerla automáticamente.
La hoja de ruta de seguridad de datos de Varonis
En la última sección, hablamos del meollo del problema: nadie puede esperar que una estrategia tradicional de ciberseguridad sea efectiva en la era de la nube. Entonces, en respuesta a esto, desarrollamos una hoja de ruta de seguridad de datos que ya ha ayudado a algunas de las empresas más grandes del mundo, como Coca-Cola, ING y Toyota, a mejorar la seguridad de sus datos.
Hemos desarrollado esta hoja de ruta durante quince años específicamente para proteger los datos de la empresa y lograr el cumplimiento de todas las regulaciones principales, como GDPR, LGPD Y SOX.
Visibilidad en tiempo real
Antes de hacer cualquier otra cosa, debemos tener una idea clara de qué parte de sus datos está en riesgo. Para ello, evaluamos automáticamente toda la información y compilamos los resultados en un informe.
Hablamos de lo difícil que es saber por dónde empezar, y este es el primer paso. Analizamos dónde están tus datos, cómo es el entorno y cómo se configuró todo. También analizamos el acceso a los datos y los permisos, en diferentes almacenamientos en la nube, aplicaciones SaaS, etc. Evaluar quién accede a qué datos, cómo se utilizan los datos y detectar tendencias de comportamiento.
Con esta información, comenzamos a identificar y priorizar cualquier problema y riesgo potencial. Este proceso es vital ya que los problemas pueden variar en gravedad e impacto potencial.
Por ejemplo, cuando identificamos que un equipo de marketing almacenó las contraseñas de las redes sociales de su empresa en OneDrive, compartió un enlace público al archivo y Google lo indexó. O cuando un consultor todavía tenía acceso a un expediente de la empresa y accedía a él todos los días, a pesar de haber sido despedido seis meses antes.
Consulte nuestro informe de muestra de evaluación de riesgos aquí para tener una idea de lo que incluimos.
Si el acceso se limita internamente a un pequeño número de personas, es menos probable que sea un problema. Pero si se comparte externamente, existe mucho más riesgo.
El objetivo aquí es conocer el terreno y comenzar a identificar los riesgos rápidamente. En Varonis, lo llamamos "Valor del día 1" porque comienza a proteger sus datos desde el principio.
Nuestros clientes instalaron Varonis un martes por la mañana y recibieron una llamada de nuestro equipo proactivo de respuesta a incidentes a las 4 p.m. notificándoles que acabábamos de detener un ataque de ransomware.
Aprenda y sintonice
Una vez que se completa la etapa de habilitación, la mayoría de las herramientas de ciberseguridad lo dejan a su suerte. Pero eso no ayuda mucho. De hecho, a menudo puede dejarlo aún más confundido al intentar interpretar y priorizar los hallazgos.
No se preocupa, no le abandonaremos. En cambio, Varonis AI evalúa los metadatos que capturamos de sus entornos y crea un modelo para que podamos analizar la información continuamente. El objetivo es utilizar esta información de comportamiento para generar contexto en torno a sus datos para que usted y su equipo puedan tomar decisiones mejores y más informadas.
Hacemos esto usando tres ingredientes principales:
- Sensibilidad: dónde están los datos confidenciales y el tipo de sensibilidad
- Permisos: quién tiene acceso a qué datos
- Actividad: cómo las personas interactuaron con los datos.
Luego utilizamos estos modelos de comportamiento con nuestra detección de amenazas para configurar alertas e informes automatizados. Además de integrar tecnología de ciberseguridad como SIEM, DLP y SOAR.
Cuando esto se ajuste y personalice según los datos de su empresa, tendrá una lista de recomendaciones para mejoras y cambios, pero también el contexto que necesita para tomar decisiones informadas en la siguiente etapa.
Remediar
Como CISO, no basta con identificar riesgos y problemas, es necesario resolverlos. Históricamente, esto se ha hecho dedicando mano de obra al problema. Pero incluso si contrata a un ejército de contratistas para intentar solucionar los problemas que encuentre, la lista estará desactualizada cuando haya terminado. Por no hablar del calendario y los enormes gastos económicos.
En cambio, Varonis soluciona los problemas automáticamente, sigue las recomendaciones de la fase anterior y reduce el riesgo en sus entornos. Esto se hace utilizando nuestras capacidades DSPM (Administración de la postura de seguridad de los datos), que eliminan permisos obsoletos y redundantes, fortalecen su directorio activo y crean automáticamente políticas de retención y cuarentena de datos.
El objetivo aquí es minimizar la superficie de exposición potencial al riesgo de la manera más rápida y eficiente posible. Por ejemplo, si tiene un empleado que cambió de equipo recientemente, es probable que todavía tenga permiso para acceder a los sistemas y datos de su función anterior. Varonis no sólo resalta este problema, sino que también lo soluciona automáticamente, de modo que los empleados solo puedan acceder a lo que necesitan en su nuevo rol.
Nuestra corrección automática cubre cuatro tipos de riesgo:
Exposición de datos
Es difícil realizar un seguimiento de lo que hacen todos en su empresa y no es raro que las personas expongan involuntariamente datos confidenciales a terceros. Lo cual puede dar lugar al robo, eliminación o alteración de sus datos confidenciales.
Por ejemplo, si alguien de su empresa almacenó credenciales de redes sociales en Microsoft 365 y las compartió mediante enlaces de "cualquiera". Esto significa que cualquier persona con el enlace puede acceder a su información confidencial e iniciar sesión en sus cuentas de redes sociales.
Configuración incorrecta
La forma en que se configuran sus aplicaciones SaaS y en la nube juega un papel importante en la seguridad de sus datos, por lo que es importante detectar información errónea y corregirla de manera eficiente. Si su empresa utiliza Zoom, es posible que se haya configurado incorrectamente para permitir a los participantes grabar llamadas localmente. Esto puede poner en riesgo a su empresa si se trata de datos confidenciales.
Riesgos con identidades
A medida que una empresa crece, también queda más expuesta a riesgos de identidad. Estos riesgos se refieren a vulnerabilidades en los procesos de gestión de identidades y accesos. Cuando un empleado abandona la empresa pero no se le revoca el acceso, sus datos confidenciales serán vulnerables.
Asegurando su éxito
La fase final de nuestra hoja de ruta probada y verdadera tiene menos que ver con grandes acciones y más con mantener la calidad, la coherencia y el cumplimiento de sus datos. Si los pasos anteriores eran para perder peso, este paso es para mantener el peso. A medida que su empresa crezca y evolucione, se adoptarán nuevas herramientas y plataformas y sus datos seguirán creciendo y difundiéndose. También surgirán nuevos riesgos y regulaciones para los que deberá estar preparado.
Esta etapa, entonces, consiste en mantenerse al tanto de todo lo nuevo, manteniendo al mismo tiempo los entornos existentes. Nuestro equipo trabaja con usted para revisar periódicamente los riesgos nuevos y existentes, el valor comercial y la madurez de la seguridad. También ayudamos a mantener sus herramientas seguras sin tener que actualizarlas innecesariamente.
Básicamente, recorremos de forma iterativa las fases anteriores, manteniendo constantemente un estado seguro y compatible a medida que las cosas cambian y su negocio avanza.
Para terminar
Con la creciente presión de las regulaciones y el alto riesgo de violaciones de datos, los CISO deben considerar la seguridad de los datos como un pilar central de su hoja de ruta de seguridad. Esto significa alejarse de una estrategia de afuera hacia adentro y avanzar hacia un enfoque que priorice los datos.
Pero con la proliferación de la creación y el almacenamiento de datos en todas las industrias, esta es una tarea casi imposible sin una plataforma y un plan de seguridad de datos adecuados para su propósito. Si sigue la hoja de ruta de seguridad de datos de Varonis que hemos utilizado con éxito para ayudar a más de 7000 empresas, puede mejorar su postura de seguridad de datos.
¿Tiene curiosidad por saber cómo se exponen sus datos confidenciales? Solicite una evaluación de datos gratuita cuando programe una demostración gratuita de Varonis .
