Back 
En la última década, los gobiernos de todo el mundo han introducido importantes novedades legislativas en materia de datos, ciberseguridad y tecnología. Esto ha sido parte de un esfuerzo sostenido para recuperar cierta influencia sobre las grandes tecnológicas e imponer prácticas de buen gobierno sobre cómo las empresas capturan, protegen y gestionan los datos.
Este cambio hacia una mayor regulación ha sido liderado en gran medida por la UE, que implementó el Reglamento General de Protección de Datos (RGPD/GDPR) en 2018. Más recientemente, la UE introdujo la directiva NIS2 para la que las organizaciones necesitan aplicar medidas antes de octubre de 2024, así como diversos elementos legislativos—como la Ley de IA de la UE y la Ley de Ciberresiliencia—que entrarán en vigor en un futuro próximo.
Aunque los requisitos específicos de cada normativa varían, el mensaje general es claro. Los reguladores exigen cada vez más a las organizaciones que inculquen buenas prácticas de gobernanza de datos y una actitud más reflexiva ante los riesgos y la información sobre amenazas, con el fin de proteger tanto a los ciudadanos como a las organizaciones que son fundamentales para la infraestructura y las economías nacionales.
El resultado es que los CISO se enfrentan ahora más que nunca a la responsabilidad de la gobernanza, el riesgo y el cumplimiento (GRC). A medida que las empresas continúan expandiéndose hacia la nube y trabajan para proteger su infraestructura digital, adoptar la automatización mediante la adopción de tecnologías de Security Service Edge (servicio de seguridad en el borde o SSE) es un paso positivo para afrontar el reto.
Al aceptar esta mayor responsabilidad, los CISO a menudo sienten el enorme peso de la responsabilidad de gestionar y abordar personalmente cada requisito. En realidad, eso es imposible; el volumen de datos, amenazas y vulnerabilidades es insuperable para una sola persona o un equipo humano de recursos restringidos. Sin embargo, también disponemos de la tecnología para automatizar muchos de estos procesos y espero que veamos una oleada de nuevas herramientas durante el próximo año para ayudar a los CISO con los requisitos de GRC.
Hay muchas capacidades existentes bajo la categoría paraguas de SSE que realizan estas funciones, y a medida que continuemos integrando soluciones de IA y aprendizaje automático seguirán avanzando. Aquí hay cuatro maneras en que SSE puede ayudar con GRC:
Clasificación y gestión de datos:
- La identificación y clasificación de datos sensibles es primordial para implementar políticas que garanticen el cumplimiento de regulaciones como RGPD/GDPR, CCPA, HIPAA, etc.
- Las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a automatizar la identificación y clasificación de datos sensibles mediante el uso de herramientas de aprendizaje automático que pueden distinguir datos personales, información financiera y propiedad intelectual.
Asesoramiento y formación de los empleados:
- Muchos reguladores y proveedores de ciberseguros exigen a las empresas que formen periódicamente a sus empleados sobre las ciberamenazas y las mejores prácticas de seguridad. Aunque la formación anual puede ser valiosa, las tecnologías y las amenazas cambian rápidamente, lo que crea la necesidad de intervenciones "justo a tiempo" más frecuentes, impulsadas por el aprendizaje automático para detectar el momento y transmitir el mensaje de asesoramiento adecuado a los empleados. La formación automatizada "justo a tiempo" de los empleados puede ayudar a inculcar las mejores prácticas sobre el uso de aplicaciones en la nube en el momento. Existen muchas soluciones, además del simple bloqueo del acceso, que pueden ayudar a animar a los empleados a utilizar las aplicaciones preferibles o a tomar las medidas deseables para evitar la pérdida de datos.
Auditorías:
- En virtud de normativas como el RGPD/GDPR, se espera que las empresas auditen periódicamente el uso que hacen de sus datos, dónde se almacenan y qué políticas se están aplicando. A medida que aumenta el uso de aplicaciones, dispositivos e infraestructuras en la nube, este proceso se vuelve más complejo. Herramientas como Cloud Access Security Broker (agente de seguridad de acceso a la nube o CASB, por sus siglas en inglés) permiten a los responsables de seguridad crear paneles e informes personalizados para ayudar a comprender el uso a nivel de actividad de los servicios y sitios web en la nube y detectar comportamientos no conformes y anomalías.
Inteligencia de riesgos:
- Un componente central de NIS2 es animar a las organizaciones a gestionar activamente los riesgos cibernéticos, tanto mediante el intercambio de inteligencia sobre amenazas como mediante la comprensión de los riesgos dentro de su cadena de suministro. Con la gran cantidad de aplicaciones en la nube disponibles, el uso de la SaaS Security Posture Management (gestión de la postura de seguridad SaaS o SSPM) ayuda a un departamento de seguridad a evaluar de forma proactiva, aprobar y gestionar activamente el uso de aplicaciones en la nube dentro de una organización y—en coordinación con la formación de usuarios en tiempo real—dirigir a los empleados a las herramientas preferibles.
Con todas estas capacidades, es posible ofrecer a los responsables de seguridad una mayor visibilidad de su infraestructura y de las amenazas correspondientes que contribuyen a alimentar los informes y las auditorías periódicas.
A medida que el panorama normativo y de amenazas se complica, los responsables de TI y seguridad deben adoptar soluciones inteligentes para automatizar los procesos de cumplimiento normativo y ayudar a mantener el ritmo de las expectativas. Las regulaciones cambiarán y evolucionarán al ritmo de los avances en la tecnología (o casi) y asegurarse de tener la flexibilidad para responder dinámicamente a estos cambios distinguirá a las empresas que tendrán éxito.
Lea el blog