Seguridad, continuidad de negocio y soberanía para la era de los datos

La gestión de los datos y la seguridad son, sin duda, dos de los retos más importantes a los que se enfrentan hoy todo tipo de empresas e instituciones. Sin el tradicional perímetro y con la complejidad de una infraestructura multinube, de las aplicaciones SaaS y del trabajo remoto y desde multitud de dispositivos y ubicaciones, la soberanía de la información y su protección suponen una presión sin precedentes para los responsables de ciberseguridad y datos.

Además, la ultra digitalización de procesos, su automatización y el creciente volumen de datos críticos que se manejan y los proyectos que solicitan las áreas de negocio se suman a estas demandas haciendo que los CISOs y CIOS deban trabajar en sincronía para potenciar la innovación logrando que la seguridad no sea un freno.

Asegurar la continuidad del negocio, el cumplimiento de normativas y evitar fugas de datos o brechas de reputación son solo algunos de los desafíos y para hacerles frente, en esta compleja realidad híbrida, multicloud y con el creciente volumen de datos a proteger, los departamentos de seguridad necesitan contar con una visión global y unificada de las amenazas así como con tecnologías automáticas, inteligentes e integradas para ofrecer una experiencia segura en cualquier aplicación, proceso o en cualquier dispositivo.

Datos, innovación y seguridad

Para analizar los retos de la gestión y protección de la información en esta nueva era Silicon España y Thales Digital Identity & Security organizaban un evento que, bajo la batuta de Daniel de Blas, responsable de Branded Content de Netmedia, reunía a Ildefonso Vera, director de Innovación, Procesos y Transformación Digital en Isdefe; Alberto López, Global Head of IT, OT and Cibersecurity de Solaria; Sergio Tagua, director de Innovación y Tecnología de Liberbank IT; Unai Obieta, CIO en The Phone House; Fernando Sanz de Galdeano, CISO en Arcano Partners; Ángel Barrado, director de Estrategia TI de Codere; y Javier Arbizu, Data Manager en Westwing.

Un encuentro que arrancaba Darío Bengoechea, Regional Sales Manager de Thales Digital Identity & Security con una completa fotografía de cómo los datos no dejan de crecer y con la dificultad de gestionarlos y protegerlos.

“Entre 2022 y 2026 se espera que los datos en manos de las organizaciones crezcan un 100 por cien en un contexto marcado por la complejidad operacional y los datos cada vez más repartidos”, explicaba. Un escenario en el que las brechas de seguridad crecen al mismo ritmo ya que “el dato es muy goloso para el ciberdelincuente” y en el que, en general, “seguimos protegiendo nuestra información como hace 50 años, con murallas como se protegían las ciudades en la Edad Media y hoy no tiene sentido ya que no sabes siquiera dónde poner la muralla”.

Por ello, la propuesta de Thales quiere cambiar radicalmente ese enfoque y así propone una triple actuación: descubrir dónde está la información; protegerla y controlarla.  

“Nuestra estrategia pasa por convertir el dato en la primera línea de defensa y que, además, éste se auto proteja a través del cifrado, convirtiendo archivos que se pueden leer en archivos ilegibles, para, en el caso de que se produzca un ataque y el robo de datos, los ciberdelincuentes no puedan hacer nada con ellos”, añadía Bengoechea.

Algo especialmente necesario si tenemos en cuenta otros datos facilitados desde Thales Digital Identity & Security y que aseguran que únicamente el 54 por ciento de las empresas sabe dónde está su información sensible y que el 43 por ciento de esa información sensible está en la nube y sin encriptar.

Información en cloud

Así, precisamente en ese entorno en la nube, Ildefonso Vera, director de Innovación, Procesos y Transformación Digital en Isdefe, recordaba cómo, al apostar por un modelo cloud, debe darse una responsabilidad compartida entre cliente y proveedor de cloud a la hora de asegurar la información. “No podemos llevar nuestros datos a la nube y ya está, pensar que podemos despreocuparnos de todo”, afirmaba.

En ese sentido, explicó, en Isdefe actualmente se encuentran inmersos en un proceso de gobernanza del dato. “Primero es necesario hacer una especie de inventario de los datos que tenemos; después, identificar cuáles de ellos son críticos y, tras ello, definir qué se puede llevar a la nube y qué no”.

Precisamente en ese proceso de identificar dónde exactamente están los datos de la organización están también trabajando desde Liberbank IT, como compartía con el resto de asistentes al evento Sergio Tagua, director de Innovación y Tecnología de la entidad. “Aunque aún estamos en las primeras fases, sí tenemos esa estrategia de ir a la nube, un journey to cloud, para el que hemos empezado a trabajar en ver qué información tenemos y lo primero que hemos detectado es que tenemos muchos datos y muy valiosos pero muy dispersos; muchos incluso te los encuentras por casualidad sin saber que estaban en determinado sitio”.

Y, así, al igual que se señalaba desde Isdefe, para Liberbank es imprescindible contar con esa visión completa del dato, así como datos de calidad y seguros para abordar cualquier innovación, ya sea Inteligencia Artificial o Machine Learning. “Sin una estrategia sólida de gestión del dato no puedes avanzar al igual que necesitas implicar al área de Ciberseguridad en cualquier proyecto, desde el inicio; si me lo permitís, incluso desde las pruebas de concepto”.

El dato, su gestión y gobierno, también es para Unai Obieta, CIO en The Phone House, la base de toda innovación pero, como apuntó, para que realmente se puedan desarrollar nuevos proyectos y avanzar es imprescindible lograr un equilibrio con los responsables de ciberseguridad. “Muchas veces te “aseguran” tanto que no puedes abordar ningún cambio; es necesario lograr un balance entre innovar y securizar. Pero además es necesario que desde el área de seguridad sean ágiles para darte una respuesta porque, de lo contrario, muchas veces pasa el momento de implantar una nueva tecnología o cambiar un proceso determinado”.

En ese equilibrio, explicaba el CIO de The Phone House, aunque prácticamente tienen ya toda la información en la nube, ellos también están involucrados en identificar la información que tienen, para construir una base de datos única y, una vez hecha, aplicar políticas de cifrado para garantizar su seguridad.

La seguridad, ¿un freno?

El mismo equilibrio entre seguridad e innovación era valorado como esencial por Javier Arbizu, Data Manager en Westwing quien además recalcó que, “aunque en la compañía, esa balanza funciona sí necesitamos una mayor agilidad en la toma de decisiones”.

Arbizu también señaló cómo en su caso los datos que gestionan “es información más relacionada con el comportamiento del usuario en nuestro ecommerce, qué compras hace, cuántas veces, etc. No son datos críticos, por ejemplo, de la información bancaria de esos clientes”.

Y es que, en ese primer paso obligado según todos los expertos de descubrir los datos que tiene una organización, ¿cómo definir cuáles son críticos y cuáles no? Ese es uno de los grandes retos a los que se enfrentan en Arcano Partners, como señalaba su CISO, Fernando Sanz de Galdeano. “Yo creo que muchas veces esa decisión, definir qué dato es crítico, debe partir desde negocio”, apuntó al tiempo que señalaba cómo la mitigación de riesgos es otro de sus grandes desafíos.

Además, para Sanz de Galdeano, aunque las regulaciones y normativas cada día más estrictas suponen una presión extra para los responsables de TI de cualquier compañía, “en muchas ocasiones son positivas porque suponen una palanca para invertir más en ciberseguridad”.

Algo que corroboraba desde Thales Digital Identity & Security Darío Bengoechea que aseguró cómo muchas veces el “driver” de un proyecto de ciberseguridad o cifrado “es precisamente la normativa, en concreto, en los últimos meses, el Esquema Nacional de Seguridad”.

La custodia de las claves

Sin embargo, en ese punto, también desde Thales, Raúl Suárez, Senior Sales Engineer explicaba que no sólo vale con cifrar la información si no tenemos una custodia férrea de las claves de ese cifrado: “La custodia de las claves es un elemento crítico: estas claves se deben cambiar de manera regular como indican las normativas y hay que establecer una política de roles para que, por ejemplo, el administrador de las bases de datos no sea quien tiene también la custodia de las claves de cifrado”. Así, señalaba, es la propia Thales la que “conserva la llave maestra, la llave de todas las claves”.

En ese punto se mostraba totalmente de acuerdo Ángel Barrado, director de Estrategia TI de Codere que afirmaba que “nadie puede tener tu cifrado de claves, por mucho que esa información, por ejemplo, este en la nube”.

Ángel Barrado explicó además que, según el país en el que opera su compañía, el tratamiento y seguridad de los datos es totalmente distinto y así, en España, los datos del cliente son opacos para Codere cosa que no ocurre en Méjico, por ejemplo. Y, en pro de esa correcta gestión del dato y de su seguridad, señaló cómo una de sus grandes metas es “lograr la estandarización del dato para seguir avanzando, por ejemplo, en el desarrollo de nuevos modelos de IA generativa”.

También en Solaria están comenzado a estudiar el uso de la IA, como compartía Alberto López, Global Head of IT, OT and Cibersecurity de Solaria, “para temas predictivos de producción y de mantenimiento de plantas”.

Un proyecto en el que los datos de nuevo son clave y cómo explicaba Alberto López, en su gestión, el verdadero reto lo suponen los datos no estructurados que precisamente son los que más crecen en volumen. Además y refiriéndose a la seguridad de los mismos, el portavoz de Solaria apuntó que “la política de la compañía es muy restrictiva ya que, en su caso, uno de los grandes peligros que nos acecha es el espionaje industrial y tenemos que intentar blindarnos para evitarlo pese a que a muchos usuarios les suponga una incomodidad”.

Los datos, como vemos, son el auténtico tesoro de cualquier compañía y precisamente por ello el reto hoy es no solo explotarlos y extraer todo el valor que encierran sino custodiarlos y asegurarlos para que nadie pueda hacerse con ellos. Un desafío doble en el que negocio y seguridad deben ir, más que nunca, de la mano.