Visibilidad y seguridad de datos críticos en entornos híbridos

La cada vez mayor digitalización de procesos, la complejidad de la infraestructura híbrida y multi nube, el incremento de la importancia de los datos dentro de la organización así como del número de personas involucradas en su uso son solo algunos de los retos a los que se enfrentan hoy los responsables de ciberseguridad, CDOs, o responsables de cumplimiento.

Un escenario al que se suma la automatización, la analítica extendida a las áreas de negocio o la llegada de la IA Generativa, amplificando las posibilidades de perder el control y la visibilidad sobre los datos y encontrarse con brechas de seguridad que terminen en un problema de seguridad o cumplimiento.

La visibilidad, el descubrimiento de los silos y la clasificación de los datos críticos es así uno de los primeros caballos de batalla de los responsables de ciberseguridad hoy en día y por ello, una de las peores amenazas es encontrarse con una brecha de seguridad o una fuga de datos proveniente de una “zona de sombra”: bases de datos, copias de seguridad, archivos, contraseñas o cualquier dato crítico que no esté bien protegido y constituye una potencial vulnerabilidad.

Precisamente analizar cómo es posible gestionar y proteger la información en el mundo ultra digital que vivimos era el objeto del encuentro organizado por Silicon España y Thales CPL al que acudían Miguel Ángel González, Global CIO & CISO de Grupo ImesAPI; Jesús Muñoz, Head of Corporate Protection & IAM de El Corte Inglés; Jesús Tomás Diez, CTO de Garante; César Santa María, Iberia Information Security Manager de GLS Spain; Rubén Fernández, Chief Technology Officer de Criptan; Rafael Tenorio, CISO de Iberdrola; Julio Bello, CRO de Aresbank; y William Luligo, IT and Data Manager de Telxius.

Daniel de Blas, responsable de Branded Content de NetMedia moderó un evento que abría Darío Bengoechea, Regional Sales Manager de Thales CPL, con una fantástica fotografía de los retos a los que se enfrentan las empresas a la hora de proteger su información.

“Actualmente, las compañías tienen que hacer frente a una auténtica explosión de los datos, una gran complejidad operativa y un altísimo volumen de normas, más de 2.500 en el mundo, sobre cómo gestionar la información. Si a ello le sumas que nos encontramos con silos de especialistas en cloud, en CRM, en aplicaciones pero no existe una capa única por encima de todo esto, a lo que asistimos es un incremento cada vez más rápido de las brechas de seguridad”, explicaba.

Por eso, desde Thales CPL defienden que el propio dato sea la primera línea de defensa de la compañía, “que sea capaz de autoprotegerse, “independientemente de si ese dato está en uso, en tránsito o en reposo”, añadía Raúl Suárez Varela, Senior Sales Engineer de la tecnológica.

Así, en la propuesta de la tecnológica lo primero es identificar dónde está el dato y clasificarlo; después cifrar el dato, a nivel de archivos o de bases de datos, y a partir de ahí establecer una gestión de claves y de secretos.

“La custodia de claves es además cada vez más importante a nivel normativo; podemos de hecho determinar varios custodios…”, explicaba también Raúl Suarez.

Distintos negocios, distintos enfoques de seguridad

Todo con un claro objetivo: descubrir, clasificar y proteger los datos críticos de la organización estén donde estén, consiguiendo una visibilidad total, asegurando los datos empresariales y el cumplimiento normativo para impulsar la innovación del negocio con las mayores garantías frente a los robos de información y brechas de seguridad.

Y es que, como surgía desde el primero minuto en la conversación, en ese intento de proteger la información sensible de las compañías no son pocos los obstáculos.

“Nosotros ahora mismo estamos abordando todo lo relativo al gobierno del dato donde hemos cambiado la visión estática que se tenía del dato a una visión dinámica”, compartía Miguel Ángel González, Global CIO & CISO de Grupo ImesAPI. Un proyecto difícil, añadía, ya que en el caso de su empresa, “al trabajar en UTEs en distintos proyectos y con diferentes proveedores, la forma en la que se gestiona el dato o se protege es distinta siempre”.

Esa diversidad también la vive Jesús Muñoz, Head of Corporate Protection & IAM de El Corte Inglés, ya que el grupo está formado por distintas empresas, más allá de la del retail. “Nosotros tenemos una financiera, una agencia de viajes, una productora… Negocios diferentes con formas distintas de entender la ciberseguridad; algunos están muy concienciados y otros lo ven como algo accesorio”.

También en GLS se enfrentan a esas diferencias, como explicaba César Santa María, Iberia Information Security Manager de la empresa. “Trabajamos en 24 países, cada uno es una empresa diferente, con su propia política de ciberseguridad, su propio presupuesto y eso no siempre es fácil de gestionar”.

Sea como sea esa estructura empresarial, lo que es común a todos es la preocupación cada vez mayor por la ciberseguridad y es que como apuntaba Jesús Tomás Diez, CTO de Garante, “el reto es que sabes que te van a atacar pero no cómo”.

El mismo pensamiento tiene Rafael Tenorio, CISO de Iberdrola, que señalaba su preocupación por la seguridad de la información, tanto por ataques externos como de trabajadores que pueden dejar la compañía o de proveedores con los que trabajamos”.

Regulación y formación

Otro desafío es la propia regulación a la que están sometidas las empresas que, en el caso de Iberdrola, por ejemplo, debe responder antes numerosos órganos reguladores ya que somos “infraestructura crítica, servicio esencial, empresa estratégica, etc. así que ante cualquier problema de seguridad tengo que informar a varios organismos y además hacerlo en menos de 24 horas”, compartía Tenorio.

Regulación también férrea en el caso de Criptan, explicaba Rubén Fernández, Chief Technology Officer de la compañía: “Actualmente estamos regulados por DORA y MiCA y eso hace que el 80 por ciento de mi trabajo semanal vaya realmente a cuestiones de compliance y regulación”.

Lo mismo le sucede a Julio Bello, CRO de Aresbank, como entidad bancaria. Iniciando ahora su proceso de digitalización y con, de momento, toda su infraestructura e información en on premise, la empresa, señaló Bello, “está desarrollando un marco de políticas IT de procedimientos para gestionar todos los riesgos de ciberseguridad así como una sólida política de contraseñas”.

La seguridad de la información es también una prioridad para Telxius, en dos vertientes además: la seguridad física de los propios cables submarinos de la compañía y la de cómo el usuario final se relaciona con la información corporativa. Un área en la que, según contó William Luligo, IT and Data Manager de la compañía, por ejemplo, ahora los usuarios piden utilizar IA generativa pero eso implica que cada archivo nuevo que subas al modelo, antes tienes que clasificarlo y etiquetarlo, algo que de momento hay que hacer de forma manual y con lo que hemos incluso descubierto alguna que otra brecha de seguridad”.

Brechas que, como apuntaba en ese sentido Darío Bengoechea, Regional Sales Manager de Thales CPL, son muy habituales. “Las empresas cuando se ponen a mirar donde está realmente su información sensible se llevan muchas sorpresas”.

Y, aunque esa información esté en la nube, recordaba Raúl Suárez Varela, Senior Sales Engineer de Thales CPL, “la seguridad y gobernanza del dato sigue siendo responsabilidad de esa compañía”.

Por todo ello, señalaban desde Thales CPL, es esencial cifrar la información así como formar y concienciar a los usuarios.

“La formación es esencial pero no es suficiente, no podemos confiar en que la gente no va a caer así que hay que apostar también por la concienciación”, afirmaba Jesús Tomás Diez, de Garante.

Un aspecto en los que se mostraba de acuerdo César Santa María, de GLS Spain pero con un importante matiz: “La única baza que tenemos es desligar al usuario de responsabilidades; Me parece absolutamente injusto hacer pensar al usuario en cómo tiene que gestionar un fichero o no con criterios de ciberseguridad. El de finanzas está pensando en el balance y el de recursos humanos en las nóminas, no en ciberseguridad. Eso es una responsabilidad únicamente nuestra y por eso yo apuesto por el modelo Zero Trust para todos, incluido yo mismo”.

Sencillez para el usuario

En ese sentido también reflexionaba Rubén Fernández, de Criptan, “no se debe presionar mucho al usuario, complicándole la vida, con contraseñas infernales que debe actualizar prácticamente a diario. Hay que ponérselo fácil”.

“Si se lo pones muy complicado, el usuario acaba yéndose a lo fácil. Lo que hay que intentar es darle herramientas que le ayuden a trabajar de forma segura pero que sean sencillas y se integren en su día a día”, recalcaba Miguel Ángel González, de ImesAPI.

Y más “recetas” en ese objetivo de securizar la información como la que señalaba Jesús Muñoz, de El Corte Inglés: “Nuestra estrategia pasa por acercarnos lo más posible al dato así como por apostar por la clasificación de la información porque solo así sabes qué tienes en la casa, cómo se está moviendo, etc”.

Un control que también están buscando en Iberdrola, según comentó Rafael Tenorio: “Buscamos controlar la información no estructurada y para ello por ejemplo estamos intentando que todo el mundo tenga su información en herramientas como One Drive porque así podemos ver de dónde sale un fichero y a dónde va”.

Sin duda un encuentro en el que, de la mano de Thales CPL, se analizaron retos e inquietudes pero también mejores prácticas y soluciones para descubrir, clasificar y proteger los datos críticos de la organización estén donde estén, asegurar el cumplimiento normativo e impulsando la innovación de negocio con las mayores garantías frente a robos de información y brechas de seguridad.