Por: Malli Vangala, director senior de mercadotecnia de cumplimiento, y Erica Toelle, gerente senior de mercadotecnia de producto en Microsoft.
Sus datos son un activo estratégico. Para beneficiar a su negocio, los datos requieren controles estrictos en cuanto a estructura, acceso y ciclo de vida. Sin embargo, la mayoría de los líderes de seguridad tienen dudas sobre la seguridad de los datos: casi el 70 por ciento de los directores de seguridad de la información (CISO, por sus siglas en inglés) esperan que sus datos se vean comprometidos en un ataque de ransomware.1 Parte del problema radica en las soluciones tradicionales de administración de datos, que tienden a ser demasiado complejas, con múltiples procesos duplicados no conectados aumentados con integraciones puntuales. Este enfoque de mosaico puede exponer brechas de infraestructura que los atacantes aprovecharán.
Por el contrario, el gobierno de datos proactivo ofrece un enfoque holístico que conserva los recursos y simplifica la protección de sus activos de datos. Este enfoque integrado para el gobierno de datos es un componente vital de la seguridad Zero Trust (Confianza Cero) y abarca el ciclo de vida completo de sus datos. También reduce el costo incurrido por una violación de datos, tanto al reducir el radio de explosión como al evitar que un atacante se mueva de manera lateral dentro de su red. Microsoft Purview proporciona una solución integral de gobierno de datos diseñada para ayudar a administrar sus datos locales, multinube y de software como servicio (SaaS). Para ayudarlos a obtener más de sus datos, hemos reunido cinco guías.
1. Crear un mapa de datos de todos sus activos de datos
Antes de que puedan proteger sus datos, necesitarán saber dónde se almacenan y quién tiene acceso a ellos. Eso significa crear descripciones completas de todos los activos de datos en todo su patrimonio digital, incluidas las clasificaciones de datos, cómo se accede a ellos y quién es el propietario. De manera ideal, deben tener un servicio de clasificación y escaneo de datos administrado por completo, que maneje el descubrimiento de datos automatizado, la clasificación de datos confidenciales y el mapeo de un linaje de datos de extremo a extremo para cada activo. También querrán hacer que los datos sean reconocibles con facilidad, etiquetándolos con términos de búsqueda comerciales y técnicos que sean familiares.
El almacenamiento es un componente vital de cualquier mapa de datos y debe incluir metadatos técnicos, comerciales, operativos y semánticos. Esto incluye el esquema, el tipo de datos, las columnas y otra información que se puede descubrir con rapidez con el análisis de datos automatizado. Los metadatos comerciales deben incluir el etiquetado automático de cosas como descripciones y términos del glosario. Los metadatos semánticos pueden incluir el mapeo a fuentes de datos o clasificaciones, y los metadatos operativos pueden incluir actividad de flujo de datos, como el estado y el tiempo de ejecución.
2. Construir un marco de decisión y rendición de cuentas
Una vez que sepan dónde se encuentran todos sus datos, deberán documentar las funciones y responsabilidades de cada activo. Comiencen con responder siete preguntas básicas:
- ¿Cómo se accede y utiliza nuestra información?
- ¿Quién es responsable de nuestros datos?
- ¿Cómo responderemos cuando cambien los requisitos comerciales o regulatorios?
- ¿Cuál es el proceso para revocar el acceso debido a un cambio de rol o la partida de un empleado?
- ¿Hemos implementado monitoreo e informes para rastrear el acceso a los datos?
- ¿Cómo manejamos la gestión del ciclo de vida?
- ¿Realizamos la automatización de la gestión de permisos para reforzar la seguridad y el cumplimiento?
En respuesta a la pregunta número uno, deben desarrollar un ciclo de vida detallado para el acceso a los datos que cubra a empleados, invitados, socios y proveedores. Al decidir a qué datos puede necesitar alguien acceder, tengan en cuenta tanto el rol de la persona como la forma en que se utilizarán los datos en cuestión. Los líderes de las unidades de negocios deben determinar cuánto acceso requiere cada puesto.
En función de la información recopilada, sus socios de seguridad y TI pueden crear controles de acceso basados en roles (RBAC, por sus siglas en inglés) para cada puesto de empleado y solicitud de socio o proveedor. El equipo de cumplimiento será entonces responsable de monitorear e informar para garantizar que estos controles se pongan en práctica. La implementación de una solución de administración de permisos también puede ayudar a su organización al evitar el uso indebido y la explotación maliciosa de los permisos. Mediante la detección automática de alertas anómalas, su organización puede reducir las cargas de trabajo de TI, conservar recursos y aumentar la productividad de los usuarios.
3. Monitorear las políticas de acceso y uso
A continuación, deberán documentar las políticas para cada depósito de datos. Determinen quién puede acceder a los datos, incluido el acceso de lectura frente a escritura, y cómo se pueden compartir y utilizar en otras aplicaciones o con usuarios externos. ¿Su organización almacenará información de identificación personal (PII, por sus siglas inglés) como nombres, números de identificación y direcciones IP o de casa en este repositorio? Con cualquier dato confidencial, es imperativo hacer cumplir el principio de Confianza Cero de privilegio mínimo o acceso justo a tiempo (JIT, por sus siglas en inglés).
El modelo de permisos JIT fortalece el principio de privilegio mínimo al reducir la superficie de ataque a solo aquellos momentos en que los privilegios se usan de manera activa (a diferencia de la superficie de ataque de privilegios permanentes de todo el día y todos los días). Esto es similar al privilegio suficiente (JEP, por sus siglas en inglés), en el que un usuario completa una solicitud que describe la tarea y los datos a los que necesita acceder. Si se aprueba la solicitud, se proporciona al usuario una identidad temporal para completar la tarea. Una vez que se completa la tarea, la identidad se puede deshabilitar o eliminar. También existe un enfoque de «intermediario y eliminación de acceso», en el que se crean cuentas privilegiadas permanentes y sus credenciales se almacenan de forma segura. Luego, los usuarios deben proporcionar una justificación cuando soliciten usar una de las cuentas para acceder a los datos durante un período de tiempo específico.
Su organización puede protegerse a través de mantener un registro de cada solicitud de acceso elevado (otorgado o rechazado), incluso cuando se revocó el acceso. Todas las organizaciones, en especial aquellas que almacenan PII, deben poder demostrar a los auditores y reguladores que se aplican las políticas de privacidad. Eliminar las cuentas privilegiadas permanentes puede ayudar a su organización a evitar problemas de auditoría.
4. Seguimiento de datos estructurados y no estructurados
De manera tradicional, el gobierno de datos se ha centrado en archivos comerciales y correos electrónicos. Pero las regulaciones más estrictas ahora requieren que las organizaciones se aseguren de que todos los datos estén protegidos. Esto incluye datos estructurados y no estructurados compartidos en aplicaciones en la nube, datos locales, aplicaciones de TI en la sombra, todo. Los datos estructurados se componen de tipos de datos definidos con claridad, con patrones que los hacen fáciles de buscar, como Microsoft Office o Google Docs. Los datos no estructurados pueden incluir cualquier otra cosa, como archivos de audio, videos e incluso publicaciones en redes sociales.
Entonces, ¿deberían dejar que el propietario de los activos individuales implemente sus propias protecciones de datos en un panorama de datos tan amplio? Una alternativa que han adoptado algunos de los clientes de Microsoft consiste en desarrollar un enfoque matricial para el gobierno de datos, en el que los expertos en seguridad y cumplimiento ayudan a los propietarios de datos a cumplir los requisitos para proteger sus datos. En este escenario, se utiliza una «matriz de datos común» para realizar un seguimiento de cómo interactúan los dominios de datos en toda su organización. Esto puede ayudar a documentar qué áreas de su negocio pueden tan solo crear datos en lugar de leer, acceder o eliminar activos de datos. Su matriz de datos debe identificar la fuente de los datos, incluidos los sistemas de TI ocultos en uso. Asegúrense de capturar todos los dominios y subdominios que contengan datos sensibles o confidenciales, sujetos a regulaciones gubernamentales. Además, la documentación de funciones y responsabilidades para cada unidad de negocio permite que todos entiendan quién usa datos específicos para un trabajo en particular, así como quién agrega datos a un sistema y quién es responsable de ello.
5. Eliminar los datos que ya no necesitan
Los «datos oscuros», que las organizaciones pagan para almacenar, pero se subutilizan en la toma de decisiones, ahora crecen a una tasa del 62 por ciento por año.2 Dado que la mayoría de los equipos de TI ya están sobrecargados, pedirles que vigilen grandes lagos de datos no es una receta para la seguridad. Entonces, ¿cómo pueden saber cuándo algunos datos ya no son útiles para su organización?
A veces, la forma más fácil de proteger los datos es eliminarlos. De acuerdo con el principio Confianza Cero de «asumir incumplimiento», menos datos significa menos riesgo. El robo de propiedad intelectual (PI) puede ser peligroso a nivel financiero, mientras que el robo de PII del cliente puede ser desastroso a largo plazo para su marca. Las leyes de privacidad requieren que las empresas conserven la PII solo durante el tiempo que haya cumplido su propósito original.3 Sin embargo, sería casi imposible rastrear de manera manual qué archivos están sujetos a eliminación. Un mejor enfoque es implementar controles continuos para que la PII caduque de manera automática o configurar recordatorios automáticos para revisar los datos confidenciales y decidir si aún son necesarios.
Comprender el ciclo de vida de los datos hace que sea más fácil eliminarlos cuando ya no se necesitan. Una solución integrada de gobierno de datos con capacidades de aprendizaje automático inteligente puede hacer el trabajo por ustedes, a través de clasificar el contenido cuando se crea y aplicando de manera automática las políticas de extinción apropiadas.4 O usen políticas de retención de varias etapas para aplicar en automático una nueva etiqueta al final de un período de retención.
Conozcan más
El gobierno de datos proactivo y holístico es una parte integral de la protección de datos, abarca todo el ciclo de vida y ayuda a impulsar los resultados comerciales al garantizar que sus datos sean detectables, precisos y seguros. Microsoft Purview integra y automatiza el gobierno de datos mediante el establecimiento de controles de ciclo de vida en sus datos confidenciales, la protección contra la pérdida de datos y la administración de RBAC. Para experimentar Purview en su organización, pueden comenzar con una prueba gratuita.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Almost 70% of CISOs expect a ransomware attack, Danny Bradbury. 19 de octubre de 2021.
2Encuesta de septiembre de 2021 de 512 responsables de la toma de decisiones de cumplimiento de los Estados Unidos encargada por Microsoft a Vital Findings.
3GDPR personal data—what information does this cover?, GDPR. 2022.
4Microsoft se compromete a garantizar que los sistemas de IA se desarrollen de manera responsable y de manera que garanticen la confianza de las personas. Como parte de este compromiso, los equipos de ingeniería de Microsoft Purview ponen en práctica los seis principios básicos de la estrategia de Inteligencia Artificial Responsable de Microsoft para diseñar, construir y administrar soluciones de inteligencia artificial. Como parte de nuestro esfuerzo por implementar la IA de manera responsable, proporcionamos documentación, acceso, atestación de escenarios y más para ayudar a las organizaciones a usar los sistemas de IA de manera responsable.
