En las últimas semanas diferentes analistas como Gartner, Forrester o IDC han publicado su visión en cuando a tendencias de ciberseguridad para el año 2022 y siguientes. Lógicamente, muchas de estas tendencias coinciden y queremos hacernos eco en este artículo de aquellas relacionadas con el ámbito de la ciberseguridad centrada en los datos. A continuación te contamos las más destacadas.
Tabla de Contenidos:
- Necesidad creciente de cumplimiento de regulaciones de privacidad y ciberseguridad.
- Extensión de la protección más allá del perímetro de seguridad tradicional.
- Potenciar la seguridad en las cadenas suministro y la colaboración con terceros
- Nuevos cambios en la Dirección y Cultura de las organizaciones para blindarse en ciberseguridad.
- El enfoque de SealPath
- Resumen
1. Necesidad creciente de cumplimiento de regulaciones de privacidad y ciberseguridad
Según destaca Gartner, para finales del año 2023, las leyes modernas de privacidad cubrirán el 75% de la población mundial. Desde la publicación en 2018 de EU-GDPR han surgido nuevas regulaciones en diferentes países con el objetivo de proteger los datos personales que las organizaciones recogen de empleados, clientes, partners, etc.
Se prevé que las operaciones de seguridad se estandaricen tomando como base EU-GDPR y haciendo ajustes para regulaciones específicas. Será necesario automatizar los sistemas de gestión de privacidad para asegurar el cumplimiento y minimizar esfuerzos.
Según IDC para el año 2026, el 85% de las organizaciones cuya gestión de datos limite sus estrategias de negocio, solicitarán a los CIOs liderar y priorizar inversiones en cumplimiento y gobernanza de datos.
Tal y como se comenta en este artículo, se prevé que las sanciones gubernamentales y decisiones judiciales, sentarán un precedente de forma que las empresas tomarán medidas para minimizar los riesgos en ciberseguridad. Esto hará que el nivel de seguridad para alcanzar simplemente el cumplimiento de regulaciones estará más cercano a estándares de alta seguridad. CIOs y CFOs trabajarán conjuntamente para limitar el impacto económico derivado de fugas de datos y brechas en la red que expongan datos de clientes y partners.
Desde el inicio de la pandemia, se ha visto cómo las organizaciones distribuyen más y más los datos de forma que ahora no están restringidos al perímetro de la red. El boom de la colaboración y trabajo remoto hace que se haya incrementado el riesgo de que datos personales e internos de las organizaciones estén en cualquier ubicación.
Regulaciones como GDPR no prescriben soluciones concretas, pero sí proponen el cifrado y control de acceso como medidas que pueden a minimizar fugas de datos (Artículo 32 EU-GDPR). Además, si los datos perdidos estaban cifrados y no accesibles podemos evitar notificaciones (Artículos 33, 34 EU-GDPR).
Todo esto hace que sistemas de seguridad centrada en los datos que incluyan mecanismos de cifrado y control de acceso como IRM puedan ayudarnos a proteger a la organización de pérdidas derivadas de regulaciones y mitigar posibles fugas de datos. La protección viaja con los documentos y es posible limitar acciones por lo que los datos estarán seguros en cualquier ubicación. Además, la protección automatizada de datos en servidores de ficheros y sistemas de gestión de documentación en la nube u on-premise (SharePoint, Office 365, etc.) pueden ayudarnos a automatizar también la gestión del cumplimiento.
2. Extensión de la protección más allá del perímetro de seguridad tradicional
Ya en el año 2021 Gartner anticipaba la necesidad de disponer de una “Malla de Ciberseguridad” que permita el acceso seguro a cualquier activo (Ej. dato, fichero, dispositivo, etc.), por parte de cualquier persona y de cualquier sitio independientemente de dónde se encuentre las personas y los activos.
Se prevé que para el año 2024 las organizaciones adopten una arquitectura de malla de ciberseguridad que permia reducir el impacto financiero de incidentes de seguridad en un promedio del 90%. Actualmente se soportan tecnologías en diferentes lugares y se requieren soluciones flexibles que permitan securizar la información más allá del perímetro tradicional de la red, mejorando además la seguridad del trabajo remoto.
Los sistemas de ciberseguridad centrada en los datos permiten extender el concepto de malla de ciberseguridad a los datos, y unido al modelo de seguridad “Zero-Trust”, permiten a las organizaciones controlar el acceso al contenido de ficheros en cualquier lugar ubicación, dentro o fuera del perímetro de seguridad de la red. Da igual si el usuario está trabajando en remoto y accediendo a una Excel con datos sensibles. La ciberseguridad centrada en los datos permite a la organización tener el control de este fichero, limitando quién accede, monitorizando accesos y pudiendo revocar el acceso al fichero en remoto si es necesario.
3. Potenciar la seguridad en las cadenas suministro y la colaboración con terceros
En base a las predicciones de Forrester para el 2022, podemos ver como el 60% de los incidentes de seguridad tendrán lugar en las relaciones con terceros. Con ciberataques poniendo su objetivo en pequeños proveedores los ataques a la cadena de suministro se multiplicarán e impactarán en las empresas que no inviertan en la tríada de la gestión de riesgos: Personas, Procesos y Tecnología.
Según la revista Security Magazine, las cadenas de suministro serán examinadas para minimizar brechas de seguridad derivadas de operaciones de seguridad inapropiadas por parte de proveedores.
Gartner predice que, para 2025, el 60% de las organizaciones utilizan el riesgo de ciberseguridad como un «determinante principal» al elegir con quién realizar negocios. Cualquier operación de ciberseguridad es tan segura como su eslabón más débil, y esto impacta en la cadena de suministro. Debido a esto, las empresas están evaluando la resiliencia y exposición a la ciberseguridad para decidir con quién se asociarán y mantener un estándar de seguridad elevado en toda la cadena de suministro.
Los gobiernos y las industrias van a hacer más en esta línea pero también las amenazas aumentarán en repuesta a esta postura de seguridad mejorada. Los clientes sofisticados y con buenos recursos podrán aplicar más controles y por otro lado, los proveedores pueden modificar y ajustar sus políticas de servicio para dejar claro que hay brechas de seguridad que no pueden cubrir.
Por otro lado, una de cada 5 firmas incluirá políticas relacionadas con ciberseguros en los contratos con terceros en la cadena de suministro, haciendo que el partner asuma el riesgo de que un intruso salte de la red del partner al entorno de la organización.
Sin embargo, la imposición de controles y cláusulas concretas a terceros proveedores está sólo en la mano de empresas sofisticadas. Deben poder utilizarse tecnologías que permitan tener los datos seguros también cuando están en redes o equipos de terceros. Esto es lo que proporcionan tecnologías de seguridad centrada en los datos que permiten tener los datos protegidos, bajo control y auditados también cuando están en manos de nuestros proveedores dentro de la cadena de suministro.
4. Nuevos cambios en la Dirección y Cultura de las organizaciones para blindarse en ciberseguridad
Gartner indica que para el 2025, el 40% de los equipos directivos tendrán un comité de ciberseguridad dedicado supervisado por un miembro cualificado del equipo de Dirección. Los riesgos en ciberseguridad han adquirido una gran relevancia en los últimos años, y esto ha pasado a ser considerado algo crítico por los CEOs y equipos directivos de las organizaciones. Como se indicaba más arriba, el incumplimiento de regulaciones o brechas de seguridad pueden tener un impacto directo en los resultados de la compañía.
Además, y para minimizar estos riesgos s prevé también que para el 2025 el 70% de los CEOs impondrán una cultura de resiliencia organizacional para sobrevivir a las amenazas cibernéticas. La transformación digital ha ampliado el abanico de riesgos en ciberseguridad y la organización debe ser consciente de ello.
Es fundamental que se extienda una cultura de protección de la información en la organización, de forma que la ciberseguridad no caiga únicamente en las responsabilidades de la oficina del CISO sino que todos los empleados de la organización sean conscientes de la importancia de mantener seguros los datos.
Las tecnologías de seguridad centrada en los datos como la clasificación de datos o el IRM ayudan a extender esta cultura de protección de forma que los usuarios sean conscientes del nivel de sensibilidad d la información que gestionan y que la organización requiere medidas de protección más o menos estrictas dependiendo de cada tipo de datos.
El enfoque de SealPath
El enfoque de SealPath ha sido siempre proteger los datos independientemente de su ubicación y por ello:
- Ayuda en el cumplimiento de regulaciones de protección de datos, aplicando sobre los mismos cifrado + control de acceso + controles de auditoría y revocación.
- Facilita el despliegue de arquitecturas de malla de ciberseguridad y despliegue de modelos de seguridad como Zero-Trust de forma que se amplía el control y seguridad de los datos más allá del perímetro de seguridad de la red.
- Mejora la seguridad en la cadena de suministro, haciendo que los datos sensibles de la organización estén seguros cuando están en la red o equipos de un proveedor, ya que la protección viaja con lo datos.
- Con un proceso de implantación basado en la experiencia y dirigido por profesionales experimentados, ayuda a extender una cultura de seguridad en la organización informando a los usuarios de que están utilizando información protegida, cuya pérdida podría suponer una pérdida y habilitando herramientas a los usuarios que les permita gestionar y proteger los datos con seguridad.
Resumen
El mundo de la seguridad está cambiando, y las empresas deben adaptarse a estos cambios para poder hacer frente a las amenazas potenciales en un futuro próximo. Incorporar en su estrategia, capacidades de seguridad centrada en los datos, le ayudará a moverse de un modelo de seguridad perimetral a un modelo de seguridad que no dependa de dónde estén los datos.
En SealPath permitimos a las empresas proteger y controlar sus documentos estén donde estén: en su PC, en su red corporativa, en la red de un partner, en la nube, etc. Incluso una vez que el documento ha sido enviado o compartido y está fuera del control del departamento de TI.
¿Quieres saber más sobre el valor que SealPath puede aportar a tu organización en todos estos puntos? Contáctanos, y te mostraremos cómo.
