Mudar aplicaciones y datos a la nube dejó de ser una pregunta sobre si se debe hacerse o no, para convertirse en una cuestión de cómo y cuándo. Toda la información que se mueve y se almacena en la nube debe estar protegida tan fuertemente como la que se almacena en las instalaciones de cada empresa. Desafortunadamente, la protección de datos se descuida comúnmente.

El incremento en regulación está poniendo el reflector en la necesidad de una visión mucho más robusta en la protección de datos. La Unión Europea decretó la Regulación Global de Protección de Datos; en los Estados Unidos, California aprobó el Acta de Privacidad del Consumidor, que otros estados están empleando como modelo. Brasil y otros países están siguiendo el paso. Quienes regulan están respaldando las demandas para que las organizaciones mantengan visible cómo es que la información está siendo procesada y almacenada con multas muy altas para aquellos que incumplen. Ya sea que su organización este usando un ambiente híbrido con información tanto en sus premisas como en la nube, o este por migrar completamente a la nube, hoy es más crucial que nunca desarrollar una estrategia de protección de datos robusta.

Entienda las amenazas, establezca responsabilidades.

Las empresas necesitan pensar sobre gobernanza de datos en una nueva forma. Cada negocio, como un todo, es responsable de la protección de datos. Entender esa responsabilidad requiere un enfoque que integre todas las funcionas del día a día con las responsabilidades diarias- la función de seguridad no debe cargar con el peso sola. La coordinación efectiva entre la privacidad, seguridad, riesgo y funciones legales es crucial para el éxito de un programa de protección de datos basado en la nube. La mitigación de riesgos y el cumplimiento también deben jugar un papel importante.

Desafortunadamente, la protección de datos suele no ser un foco central para las organizaciones que migran a la nube. En lugar de ser parte de una estrategia integral, controles de protección de datos como clasificación de información, uso e intercambio, retención, encriptación y prevención de fugas, se incluyen solo cuando parece conveniente. Esto lleva a la implementación incompleta e inflexible de controles de protección.

El primer paso para protección de datos en la nube es entender el panorama de amenazas para así implementar medidas apropiadas. Una ciberseguridad fuerte y capacidades de privacidad de datos son beneficios clave ofrecidos por los mas grandes proveedores de la nube. Sin embargo, cabe recalcar que es responsabilidad propia de cada empresa que su información permanezca a salvo. Las responsabilidades de protección en sus instalaciones permanentes y otras nuevas deben ser consideradas. Al moverse a la nube, asegúrese que las capacidades de su proveedor sean configurables y habilitadas. También necesitará implementar una capa adicional de seguridad y monitoreo. Gartner explica que “Durante 2023, al menos 99% de fallas de seguridad en la nube serán culpa del cliente”. Eso subraya la necesidad de las organizaciones de definir una estrategia clara y asegurarse de implementar controles adecuados que garanticen la seguridad de la información.

Indicadores para una aproximación centrada en los datos.

Creemos que una aproximación centrada en los datos y basada en fundamentos sólidos de seguridad es la forma correcta de proteger su información en la nube. Debe introducir, integrar y mantener controles de protección de datos apropiados antes, durante y después de la migración. A continuación, presentamos cinco fundamentos clave para una protección de datos efectiva.

 

  1. Clasificación de datos.

Implemente métodos adecuados de clasificación de datos. Al clasificar datos, su organización podrá determinar la sensibilidad y criticidad de la información que está dirigiendo a la nube. Ya que su visibilidad de información estructurada y desestructurada esta reducida en la nube, la clasificación de datos asegura que los protocolos adecuados de seguridad puedan ser establecidos basándose en la sensibilidad de la información.

 

  1. Uso de datos y políticas de intercambio.

Defina políticas y lineamientos que aconsejen a los usuarios sobre cómo puede ser usada y compartida la información dentro y fuera de la organización. Con diferentes tipos y formatos de información creada en toda la empresa, se vuelve difícil para empleados identificar plenamente y manejar la información basándose en la sensibilidad de esta. La nube crea una nueva capa de casos de uso y categorización de datos, añadiendo aún más confusión. Su organización debe desarrollar reglas claras sobre el uso e intercambio para así crear un estándar común que permita a los empleados aplicar salvaguardias apropiadas basadas en cómo se clasifica la información.

 

  1. Encriptación.

La encriptación es uno de los controles de seguridad más importantes que toda organización debe considerar. A diferencia de información almacenada en las instalaciones, la información en la nube es accesible por el Internet, y por eso, tiene mayor nivel de exposición. Se pueden usar una gran variedad de técnicas para asegurar que la información en tránsito y en descanso mantenga confidencialidad, integridad y disponibilidad. Los proveedores de servicios suelen ofrecer algún tipo de encriptación. Úselas, junto con niveles adicionales de encriptación que puedan proveer como gateways cifrados. Estos gateways reroutearán todo el acceso a la información en la nube y realizarán una encriptación o tokenización de la información en tránsito, lo que reduce el riesgo significativamente mientras fluye entre los dispositivos de los usuarios y la nube. Esto es especialmente importante para las organizaciones que permiten a empleados usar sus propios dispositivos.

 

  1. Tecnologías de prevención de pérdidas de información (DLP).

DLP, por su nombre en inglés Data Loss Prevention, son de suma importancia. Usted pierde visibilidad de la información en la nube ya que no cuenta con acceso directo a la infraestructura. Adicional a esto, amenazas maliciosas e internas están al alza, creando grandes preocupaciones. Al extender soluciones DLP de sus instalaciones a la nube puede escanear e identificar riesgos potenciales. Esto le da a su organización una mayor visibilidad y seguridad al monitorear todos sus datos, ya sea que estén en sus instalaciones o en la nube. Cualquier amenaza disparará alertas para administradores y dueños de la información, dándole a la organización una mayor capacidad de enfrentarlas.

 

  1. Reglas de retención y eliminación de datos.

Toda organización debe establecer y hacer cumplir reglas adecuadas de retención y eliminación de datos. Con la creciente cantidad de información que está migrando a la nube, puede volverse fácilmente inmanejable para las empresas controlar y limitar la proliferación de información sensible. Definir periodos de retención desde el inicio que estén alineados a las políticas de la empresa ayudará a asegurar que la información está siendo adecuadamente eliminada al terminar su propósito dentro de la empresa. El objetivo detrás de una práctica robusta de retención y eliminación es almacenar información que será necesaria en el futuro, organizar información para que pueda ser buscada con facilidad y accesible cuando se requiera y eliminar información que ya no es necesaria.

 

Al integrar estos fundamentos con las herramientas y procesos adecuados como la gobernanza responsable, procesos bien definidos, comunicación clara, mantenimiento efectivo y reportes programados y precisos, su organización puede desarrollar una estrategia balanceada que mejore significativamente el cumplimiento de regulaciones legales y reduzca el riesgo de incidentes relacionados a la información.