La deteccióneficaz de datos es esencial para la seguridad efectiva de los datos, y una parte crucial de la detección es tener visibilidad. Incluso si dispone de excelentes métodos de descubrimiento, estará en peligro en la medida en que no los aplique a todas las partes de su organización.
Los datos ocultos están en todas partes, y depende de usted como líder de seguridad asegurarse de que está al tanto de toda la huella digital de su empresa. Es la única forma de garantizar realmente la seguridad de los datos y los activos.
Cada nuevo empleado representa un riesgo adicional si no está debidamente incorporado a los protocolos de la organización para las tareas relacionadas con TI. La falta de formación sobre lo que el empleado puede y no puede compartir abre la puerta al riesgo. Esto da lugar a la TI en la sombra, que puede ser un factor de riesgo importante para las organizaciones.
La TI en la sombra puede ser tan inocua como añadir una aplicación de terceros para ayudar con las redes sociales, o ejecutar grabaciones de voz a través de un sitio de transcripción de voz basado en la nube que almacena datos, un campo de minas para las empresas en sectores altamente regulados.
Este riesgo es mucho más acuciante en el caso de la IA. Tanto si se trata de una conversación puntual con un chatbot de IA como de una integración más compleja, existe un enorme riesgo de datos cuando se trata de IA. El mero uso de ChatGPT puede hacer que las empresas incumplan la normativa sobre datos, especialmente mientras siga vigente una orden judicial que obliga a OpenAI a conservar todas las conversaciones con los clientes. En cuanto a las asociaciones más integradas, las empresas que utilizan agentes de codificación de IA corren el riesgo de que se comparta código confidencial y patentado con terceros.
Es posible que los empleados no sepan qué debe y qué no debe divulgarse a la IA, especialmente si el uso incluye la carga de documentos clave o la integración de bases de datos como parte de iniciativas más complejas. La aplicación de salvaguardias técnicas es esencial para que los empleados no caigan en la trampa de pensar que compartir con la IA está bien "sólo esta vez" o "sólo para esta pequeña información inocua".
Gestionar la TI en la sombra, especialmente con la llegada de la IA, puede ser todo un reto. No es realista eliminarla por completo y, como dice el CTO de Safetica Zbyněk Sopuch, "la TI en la sombra surge de la necesidad de los empleados de comodidad, agilidad y herramientas modernas."
Casi todas las grandes empresas han añadido funcionalidades de IA a sus productos, lo que significa que la IA ya está disponible en muchos servicios que los empleados necesitarán utilizar legítimamente. Las empresas también pueden encabezar iniciativas organizativas para incorporar la IA en múltiples departamentos.
Todos estos escenarios, ya sean grandes o pequeños, añaden un nuevo nivel de riesgo para los datos de una empresa, razón por la cual establecer la política y el marco de la IA de una organización es aún más importante que incorporar salvaguardas.
El marco de la IA de una empresa debe definir qué usos son aceptables y cuáles no. También debe ayudar a los usuarios a comprender todos los riesgos asociados incluso a un uso aparentemente inocuo, así como los servicios que pueden tener IA integrada.
Sopuch recomienda que cuando se trata de IA, "las organizaciones deben centrarse en la habilitación segura, proporcionando "safe-to-try" sandboxes y límites de datos claros que permitan a los equipos explorar nuevas tecnologías sin exponer los sistemas críticos". Al garantizar la visibilidad, la confianza y las rutas de escalada definidas, las organizaciones pueden realmente aprovechar la TI en la sombra para su propio beneficio, convirtiéndola "de un riesgo de seguridad en una ruta estructurada para la innovación, que equilibra la creatividad con el control."
La gente ya no trabaja en un mismo lugar como antes. En un solo día, los empleados saltan entre dispositivos, ubicaciones y redes.
Los datos confidenciales les siguen a todas partes.
Esto incluye "traiga su propio dispositivo" (BYOD), pero va más allá, ya que los entornos de trabajo dispares se han convertido en la norma para las organizaciones. El reto consiste en saber si su empresa dispone de suficiente visibilidad de los datos para supervisar el uso de múltiples dispositivos. Esto se aplica independientemente de si el dispositivo pertenece al empleado o a la empresa.
Las políticas BYOD se pusieron de moda con la proliferación del uso de smartphones en entornos laborales y el cambio a la nube. La pandemia mundial de COVID aceleró las cosas porque el trabajo a distancia se convirtió en la norma en muchos lugares, y BYOD se convirtió en una práctica de facto.
Las soluciones, las herramientas y los procesos que facilitan la visibilidad, la gestión y las prácticas seguras de los datos normalmente no pueden colocarse en los dispositivos personales. Incluso si lo son, herramientas como la gestión de dispositivos móviles (MDM) y soluciones similares son muy invasivas y suelen eliminar los controles de propiedad del empleado y trasladarlos al empleador. Naturalmente, los empleados se resisten a ello.
También es irreal esperar que los empleados sólo accedan a un recurso de trabajo desde dispositivos exclusivos de la empresa y, al mismo tiempo, esperar que estén "siempre conectados", como suele ocurrir en nuestra era conectada. Las solicitudes de "consultar rápidamente este correo electrónico" o similares pueden detenerse por completo si un empleado no puede iniciar sesión en su correo electrónico o portal de trabajo desde nada que no sea un dispositivo autorizado y correctamente aprovisionado para el trabajo.
Como responsable de seguridad, es imposible controlar los dispositivos ajenos a la empresa, ya pertenezcan a un empleado, sean ordenadores públicos de una biblioteca o dispositivos propiedad del empleador que se conectan a una red Wi-Fi pública. En su lugar, los líderes deben centrarse en aportar visibilidad sobre cuándo y cómo se conectan los empleados a cualquier cosa vinculada a su organización, así como visibilidad sobre los propios datos. De este modo, podrá supervisar y proteger sus datos independientemente del dispositivo que se utilice.
El riesgo de terceros es una realidad siempre presente y debe formar parte de su estrategia de visibilidad y gestión. Estos riesgos pueden venir en forma de proveedores de SaaS, proveedores de servicios en la nube, dependencias de desarrollo de software o subcontratación empresarial.
La visibilidad de terceros se refiere a la forma en que los terceros interactúan y se conectan con los activos, datos e integraciones de su organización, entre otros. En cierto sentido, podría considerarse una forma de TI en la sombra, pero lo suficientemente importante como para tenerla en cuenta por sí sola.
Las historias de violaciones de datos relacionadas con terceros son numerosas, como el ataque a la cadena de suministro de SolarWinds 2019/2020, que llevó a la instalación de software malicioso en 18,000 organizaciones, incluidos departamentos federales y múltiples compañías de Fortune 500. La brecha resultante fue descrita como "la intrusión cibernética más grave en la historia [de Estados Unidos]."
La brecha de 2019 en Capital One que resultó en 100 millones de solicitudes de crédito robadas se produjo debido a un servidor AWS mal configurado.
Una vulnerabilidad en una herramienta de registro de terceros llamada Log4j resultó en cientos de millones de computadoras comprometidas en 2019, lo que llevó al Ministro Federal de Seguridad de la Información de Alemania a designar la amenaza con su nivel de amenaza más alto.
Para abordar el riesgo de terceros, las empresas necesitan obtener visibilidad sobre cómo estos terceros interactúan con sus sistemas y empresas. Aunque lo ideal sería que los responsables de la seguridad trabajaran únicamente con empresas de terceros de buena reputación que no representaran ningún riesgo, es un hecho que las vulnerabilidades siempre existirán y que no existe ningún software a prueba de piratas informáticos. Al tener visibilidad sobre terceros y sus aplicaciones, se puede decidir rápidamente si esos terceros tienen acceso a más información de la que estrictamente necesitan.
Por ejemplo, el famoso pirateo de MoveIt podría haberse mitigado en gran medida si las organizaciones hubieran cifrado sus datos antes de transferirlos. Una simple estrategia de cifrado de clave pública-privada habría hecho que los datos robados fueran inútiles para los piratas informáticos. La visibilidad de los datos no cifrados en reposo habría permitido a los responsables de seguridad detectar este riesgo antes de que se convirtiera en un problema.
Los servicios de soporte de terceros, como el soporte técnico subcontratado, también podrían haber escalado privilegios en su red. Por tanto, es vital llevar a cabo una auditoría sobre qué entidades tienen privilegios elevados y acceso excesivo a los datos y cuáles realmente lo necesitan.
Saber dónde mirar es tan importante como saber cómo mirar en lo que respecta a la seguridad y la detección de datos. Los puntos anteriores son extremadamente comunes, pero también completamente abordables.
"Mejorar la visibilidad de los canales no propios requiere la combinación adecuada de tecnología, políticas y formación continua de los empleados", afirma Sopuch. "Soluciones como la Prevención de Pérdida de Datos (DLP) y los espacios de trabajo virtuales o basados en la nube ayudan a separar los entornos personales de los empresariales, manteniendo protegidos los datos corporativos incluso en sistemas propiedad de los empleados o de terceros. Combinadas con la concienciación de los usuarios, la supervisión continua y una gobernanza clara, estas medidas proporcionan tanto seguridad como comodidad, garantizando la visibilidad sin limitar la productividad"
ZbyněkSopuch, CTO de Asafetida
Al asegurarse de que dispone de un plan para aportar visibilidad a la TI en la sombra, los dispositivos múltiples y los riesgos de terceros, puede dar pasos para que su estrategia de prevención de pérdida de datos (DLP) y de seguridad de los datos sea más infalible.
Cómo obtener esa visibilidad es otra cuestión. Podría optar por varias herramientas que añaden complejidad, o por una única herramienta como la soluciónintegral de descubrimiento y clasificación de datosde Safetica . Sin embargo, Sopuch recomienda considerar la visibilidad sobre los canales no propios de forma más estratégica que como algo a evitar en la medida de lo posible.
"En lugar de resistirse a esta tendencia, las organizaciones deberían centrarse en hacer que las operaciones seguras sean igual de cómodas", afirma. "Los servicios en la nube, las aplicaciones basadas en web y los clientes ligeros o virtuales permiten a los usuarios trabajar de forma segura desde cualquier dispositivo, al tiempo que mantienen los datos corporativos dentro de entornos gestionados y controlados."
ZbyněkSopuch, CTO de Safetica
Hagas lo que hagas, es importante comprender que la seguridad total va más allá de la detección activa de amenazas y se extiende a la obtención de visibilidad de tus datos, estén donde estén.
ChatGPT no discrimina: es como un cachorrito ansioso, tratando de cumplir con todas las demandas de su dueño, todo por ese pequeño obsequio (o en el caso de ...
El cifrado de datos es un pilar fundamental de la ciberseguridad: transforma información legible en un formato ilegible para protegerla contra accesos no ...
Una amenaza interna es un riesgo de seguridad de violación de datos causado por personas que tienen acceso legítimo a los datos de una organización. Las ...