Por Rob Wright, http://searchdatacenter.techtarget.com/es
"Cuando usted está construyendo en la nube, debe esperar una brecha", dijo Klein. "Todo es importante, pero la realidad es que usted tiene una cantidad finita de recursos para la seguridad. Así que hay que centrarse en la pequeña cantidad de datos que realmente importan."
San José, California – Las violaciones de datos de la nube son inevitables, y un buen número de asistentes al Congreso de la Cloud Security Alliance (CSA) y la Academia de privacidad de la Asociación de Profesionales de la Privacidad (IAPP), realizados la semana pasada, profesaban la importancia de esperar y prepararse para las brechas en la nube antes de que sucedan.
Uno de los principales puntos enfatizados durante la conferencia conjunta fue la necesidad de una mejor identificación y clasificación de datos para que las empresas pueden concentrar sus esfuerzos en la obtención de los datos que más importan. Tal Klein, vicepresidente de estrategia y mercadotecnia de Adallom Inc., una empresa de seguridad de SaaS con sede en Palo Alto, Calif., dijo que muchas empresas se están trasladando a la nube sin hacer eso.
"Cuando usted está construyendo en la nube, debe esperar una brecha", dijo Klein. "Todo es importante, pero la realidad es que usted tiene una cantidad finita de recursos para la seguridad. Así que hay que centrarse en la pequeña cantidad de datos que realmente importan."
El problema, de acuerdo con varios expertos en seguridad de la información, es que gran parte de la tecnología de seguridad de la empresa de hoy no encaja con las necesidades de la nube. Taher Elgamal, director de tecnología y de seguridad en Salesforce.com, dijo durante su discurso de apertura que muchos productos de seguridad empresarial todavía están luchando para adaptarse a la nube y las implicaciones para la propiedad de los datos en entornos distintos a los actualmente establecidos.
"La industria de la seguridad se está quedando a la zaga [de la nube]," dijo Elgamal. "Estamos empujando los productos que construimos en un entorno para que funcionen en otro completamente diferente."
Evelyn de Souza, vocera de privacidad de datos y cumplimiento en Cisco Systems, estuvo de acuerdo.
"Los marcos de seguridad de la información han cambiado mucho para la nube", dijo. "Seguridad de la información y la seguridad en la nube no son la misma cosa."
Con ese fin, de Souza, quien preside el nuevo grupo de trabajo de gobierno de datos y privacidad de la CSA, subrayó la Certificación de protección de datos en la nube recientemente introducida por la CSA, que cuenta con un modelo de sensibilidad de datos por niveles y controles para educar a las empresas sobre la clasificación de los datos cruciales.
"No estamos diciendo necesariamente que los usuarios deben clasificar o identificar todos los datos que tienen, pero al menos deberíamos identificar los datos que son más importantes para su negocio", dijo De Souza.
Agregó que los usuarios de negocios se están apresurando a adoptar servicios en la nube, pero tienen que cambiar su forma de pensar sobre el control. De Souza destacó la tecnología de seguridad como gestión de identidad y acceso, pero más importante, dijo, es la idea de hacer una prioridad de la clasificación de datos.
Krishna Narayanaswamy, fundador y director científico de la empresa de seguridad Netskope en Los Altos, California., dijo que más empresas tienen que adoptar políticas de seguridad que tomen en cuenta el valor y los riesgos asociados a datos específicos.
"Es importante que cuando se establecen las políticas no se trate solamente de control de acceso, sino también de políticas basadas en el contenido", dijo.
Además, Narayanaswamy, que habló en el evento sobre aspectos comunes de violaciones en la nube, dijo que las empresas necesitan las "huellas digitales" de los datos cruciales y emplear soluciones de DLP conscientes de los ambientes de nube que pueden monitorear y rastrear los datos.
"A continuación, puede buscar esas huellas en las transacciones de nubes y evitar fugas de datos", dijo. "La fuga de datos es un gran problema, y se agrava con la adopción de la nube."
Pero, ¿cómo determinan primero las organizaciones cuáles de sus datos llevan el mayor riesgo y/o importancia, sobre todo cuando se trata de información privada del cliente?
Profesionales de la privacidad al rescate
Para identificar ese 10-20% de los datos cruciales, muchas organizaciones están buscando a profesionales de la privacidad que se especializan en el manejo de grandes cantidades de datos privados en las empresas.
Uno de estos profesionales es James Koenig, líder global de la práctica de privacidad comercial de Booz Allen Hamilton, que se especializa en la clasificación de los datos y en ayudar a las empresas a hacer frente a violaciones de la intimidad. Koenig dijo que el uso de la comprensión de datos, ya sea para campañas de marketing simples o análisis complejos, es fundamental para la identificación y la protección de los datos cruciales, especialmente en la era de la nube.
"Ya no se trata de escribir muy buenas políticas de privacidad es", dijo Koenig. "Hay que ver cómo se protegen los datos y cómo se utilizan. Y la intersección del uso y la protección de los datos es lo que reúne a los profesionales de la privacidad y los de la seguridad."
Koenig, quien es también co-fundador de la Asociación Internacional de Profesionales de la Privacidad (IAPP), dijo que la importancia de la privacidad de los datos ha crecido en los últimos años y requiere la necesidad de una mayor cooperación con los departamentos de seguridad de la información.
"Los profesionales de privacidad no son sólo para las posturas de cumplimiento", dijo. "Ellos están proporcionando información y asesoramiento sobre los modelos de uso de datos, así como la nueva tecnología que está disponible para protegerlos."
Una abogada que asistió a la conferencia en nombre de una compañía de servicios financieros dijo que su organización está buscando trabajar con expertos en privacidad y profesionales de la privacidad para identificar los datos importantes y asegurarse de que se guardan y protegen adecuadamente. A pesar de que deseaba permanecer en el anonimato, hizo hincapié en que el esfuerzo dependía en gran medida del apoyo de los líderes de negocio.
"Tengo suerte porque mi organización lo hace", dijo ella, "pero si usted no tiene el apoyo de nivel C, entonces nada va a suceder."
La abogado también dijo que cree que no es una cuestión de "si" sino de "cuándo" una empresa experimentará una violación de datos o en la nube.
"No hemos tenido una brecha importante aún," dijo ella, "pero esperamos que suceda."
Koenig espera que más organizaciones emplearán a profesionales de la privacidad y tendrán directores de privacidad para ayudar con sus esfuerzos globales de seguridad de la información.
"Como mínimo, yo diría que hoy en día hay mucho mejor coreografía entre los profesionales de seguridad de la información y los profesionales de la privacidad", dijo Koenig. "Están trabajando más juntos."
De Souza estuvo de acuerdo en que la sinergia será beneficiosa para las empresas. "Estoy viendo un aumento en los profesionales de privacidad que trabajan con profesionales de seguridad de la información, y esto es impulsado desde arriba hacia abajo", dijo. "Yo creo que la forma en que ha sido presentado aquí –la privacidad y la seguridad son dos caras de la misma moneda– es completamente correcto."
