Nuevos riesgos en la gestión y seguridad de los datos

La adopción de la nube, pese a las innegables ventajas que ofrece en cuanto a agilidad o escalabilidad, también representa nuevos desafíos en esa demanda de tener una visión única, centralizada, de toda la información de las compañías y, cómo no, de protegerla.

Un nuevo año y una nueva era para las organizaciones. 2023 daba comienzo marcado por una situación económica y geopolítica a nivel mundial complicada que está obligando a las empresas a revisar sus procesos y sus costes para lograr una mayor eficiencia y simplicidad; ya sea introduciendo mayor automatización o consolidando estos procesos, la infraestructura que emplean o las aplicaciones que los habilitan.

Daniel de Blas, responsable de Branded Content de NetMedia

Del mismo modo, amenazas como el malware de extorsión evoluciona, al tiempo que el desarrollo de la “datificación” en las empresas significa nuevos riesgos y una imperiosa necesidad de gobernar la información, atendiendo a la seguridad y el cumplimiento normativo, lo que implica cada vez un mayor esfuerzo en la localización, clasificación y protección del dato.

Por todo ello, el futuro inmediato significa un reto sin precedentes para todos los responsables de ciberseguridad, datos y tecnología; que van a requerir una infraestructura más flexible apoyándose cada vez más en tecnologías de nube y SaaS, una total visibilidad de sus datos y procesos para protegerlos de amenazas externas e internas, y un mayor control de costes para hacer frente a una nueva etapa de crecimiento incierto.

Más datos, más complejidad

Desafíos en torno a los que se desarrollaba el evento que Silicon España organizó junto a Thales y en el que reunía a Laia Consola, Head of Security Program Management de Fluidra; Marek Nowosielski, Data Science Director de Liberty Seguros; Gabriel Cuesta, CTO de Arcopay; Felip Jaume Ramis, especialista TI y técnico de Sistemas en Mutua Balear; y Andrés Elizondo, Security Governance PMO Consultant de AXA.

Conducido por Daniel de Blas, responsable de Branded Content de NetMedia, el encuentro contó con la participación por parte de Thales de Darío Bengoechea, Regional Sales Manager de Thales Digital, y Raúl Suárez, Senior Presales Engineer de Thales CPL.

Darío Bengoechea, Regional Sales Manager de Thales Digital

Y era precisamente Darío Bengoechea quien, para abrir el evento, resumía la actual situación de las compañías en esa llamada estrategia por lograr convertirse en organizaciones data driven. “Uno de los principales retos a día de hoy para cualquier empresa es proteger los datos que, después de las personas son el activo más importante de una empresa”, afirmaba.

Reto en el que, apuntaba, son varios los desafíos a los que se enfrentan los responsables de TI ciberseguridad: “Hay desafíos como las cada vez más frecuentes y complejas amenazas pero también nuevos escenarios como el que ha supuesto la expansión del teletrabajo y las nuevas brechas de seguridad que implica. A todos estos desafíos hay que sumar la legislación y normativa que deben cumplir estas organizaciones en todo lo que tiene que ver con la gestión de los datos y que el volumen de éstos no deja de crecer”.

Un crecimiento que viene acompañado de una dispersión de los datos a través de toda la organización y, con la creciente adopción de la nube y los modelos SaaS, fuera de ésta. “Según IBM, las empresas, solamente en el área de la seguridad de la información, tienen de media 50 aplicaciones distintas lo que hace prácticamente imposible gestionar una infraestructura TI cada vez más compleja”.

Lea también : Los españoles se quedan atrás en conocimientos de ciberseguridad

Así, añadía el Regional Sales Manager de Thales Digital, las compañías actualmente no siempre saben en todo momento y con exactitud dónde está su información sensible. De hecho, afirmaba que solo un 56 por ciento está tranquilo porque sabe dónde está almacenada su información sensible. “Se han creado silos en cuanto a la especialización en seguridad y no hay capacidad para controlar desde un único lugar toda la política del dato”.

Y es que esta información sensible es precisamente el día a día de Mutua Balear, como apuntó Felip Jaume Ramis, especialista TI y técnico de Sistemas en la compañía. “Nosotros manejamos datos de salud y, por lo tanto, información especialmente crítica. Tal vez por ello, no hemos dado el salto a la nube todavía y tenemos toda nuestra información on premise, en nuestros propios CPDs”.

Algo que, sin embargo, no hace que desaparezca esa necesidad de tener una visión única de toda la infraestructura y de todos los datos que gestiona y almacenan como también ponía de manifiesto Gabriel Cuesta, CTO de Arcopay.

Esta fintech se encuentra en plena expansión por Latinoamérica y Europa y, además de tener que cumplir con una estricta regulación en cada uno de los países en los que opera, como explicó Gabriel Cuesta, cuenta con distintas soluciones de seguridad que es necesario gestionar. “La parte más débil que tenemos son las personas. Tenemos 15 aplicaciones de seguridad y cada una la controla una persona. Esto hace que sea necesario contar con una herramienta que nos permitiera un control centralizado de toda mi infraestructura y aplicaciones y no es tarea fácil, la verdad”.

En la misma línea se situó Marek Nowosielski, Data Science Director de Liberty Seguros. Como afirmaba, el hecho de ser una empresa que opera en múltiples países hace que las diferentes regulaciones que deben cumplir sea uno de sus principales desafíos. “Mi mayor problema es que vivo de los datos, quiero hacer cosas con ellos, compartir, co-crear pero no siempre se puede y no todo se puede. Yo realmente sueño con tener el control de todos mis datos e infraestructuras desde un único lugar. Es muy complicado aunque es hacia donde debemos ir”.

Cloud computing y ciberseguridad

Algo en lo que quiso aportar su experiencia Sergio Calvo, Country IT Leader de Selecta. “Nuestra compañía, tan solo en España, tiene instaladas 36.000 máquinas de vending; es cierto que no son datos especialmente críticos más que para la competencia tal vez pero sí son muchísimos datos que tenemos en la nube”.

Además y al igual que la mayoría de participantes en el encuentro, Sergio Calvo apuntó como Selecta, presente en 16 países y tras adquirir varias empresas, se enfrenta a una compleja gestión de la infraestructura TI y de la información que maneja. “La centralización del dato es prácticamente una utopía; cada empresa del grupo mantiene sus sistemas a nivel local y su propia regulación”.

También en esa apuesta por la nube se encuentra la compañía AXA, un escenario que le ha llevado a tener que establecer una estrategia de ciberseguridad global para los 110 países en los que opera, como explicó Andrés Elizondo, Security Governance PMO Consultant de la compañía.

Andrés Elizondo, Security Governance PMO Consultant de AXA

“Contamos con políticas de manejo de la información, de gestión de claves, con planes de contingencia y de recuperación de datos… Nuestro principal objetivo es que, en caso de sufrir un ataque, podamos minimizar al máximo su impacto y recuperar la normalidad del negocio lo más rápido posible”, apuntaba.

Lea también : Voldemort, el nuevo ‘malware’ que se distribuye por Europa, Asia y América

Además de cloud, nuevas tecnologías como IoT comienzan no solo a incrementar el volumen de datos que deben gestionar y securizar la compañías sino también la complejidad a la hora de lograrlo. Así lo apuntaba Laia Consola, Head of Security Program Management de Fluidra.

“Nosotros ofrecemos todos los componentes de una piscina lo que, actualmente, representa desde la escalera o el pavimento hasta dispositivos IoT para medir la calidad del agua, que se conectan a la nube, a un teléfono móvil, etc. Eso implica nuevos retos para poder securizar la información que manejamos”, resumía.

Laia Consola, Head of Security Program Management de Fluidra

Por eso, señalaba, es muy importante contar con el apoyo del equipo directivo de la compañía: “Es necesario que entiendan los riesgos y, sobre todo, las consecuencias de un ciber incidente que además no solo se producen en el momento sino que pueden alargarse mucho en el tiempo”.

Cifrado y gestión de claves

Datos que no dejan de crecer en volumen, dispersos a lo largo de la organización o fuera de esta, nuevas tecnologías como cloud o IoT, regulaciones estrictas o fenómenos en expansión como el teletrabajo. Los desafíos que la datificación que afrontan las compañías son numerosos y, en el caso de la seguridad, aún más si tenemos en cuenta cómo este nuevo escenario tecnológico ha hecho que se difumine casi por completo el perímetro a securizar.

Por todo ello, desde Thales proponen soluciones o herramientas centralizadas que, “en primer lugar, permitan descubrir dónde está el dato y clasificarlo: en segundo, proteger el dato, convirtiéndolo en a primera línea de defensa y cifrándolo para que si alguien lo roba, no puede hacer nada con él”, explicaba Darío Bengoechea.

Una propuesta en la que otro de los grandes pilares es el cifrado y la gestión de claves. “De nada sirve tener una puerta en casa blindada y dejar las llaves puestas por fuera… La gestión de claves es fundamental. Es necesario generar claves seguras, almacenarlas en un único lugar y contar con una política de actualización de esas claves. Y, por supuesto, tener el control desde un único punto, desde el que puedas definir la política del dato, independientemente de que ese dato este on premise o en la nube, en un servidor de archivos o en una máquina virtual”, añadía.

“Además, no hay que olvidar que las soluciones de cifrado también ayudan a las empresas a cumplir con las distintas regulaciones y normativas y eso es un gran driver para los negocios”, recalcaba en ese sentido Raúl Suárez, Senior Presales Engineer de Thales CPL.

Soluciones que tratan de ayudar a las compañías a controlar su información, securizarla y protegerla para hacer realidad uno de los deseos compartidos por todos los asistentes al encuentro y que verbalizó el CTO de Arcopay: “Poder vivir de la prevención y no del susto”.

Lea también : España es el octavo país del mundo más atacado por el ‘ransomware’