Fuerza 5: Normativas gubernamentales y sectoriales
Las autoridades reguladoras todavía están tratando de ponerse al día con la computación en la nube, por no hablar de la revolución que está causando la digitalización de las empresas, ahora que ya no hay un centro de datos que auditar o un log de firewall que revisar.
Impacto de la nube en las normativas
Al igual que la nube reduce los perímetros físicos de las organizaciones, la nube también reduce y difumina la brecha digital entre países y naciones. Para muchas organizaciones, saber dónde se encuentran sus datos debería ser un requisito fundamental, pero para muchos no siempre es obvio. Responder a una solicitud del gobierno o de un regulador diciendo que nuestros datos "están en la nube" no es quizás la respuesta correcta. En cambio, el regulador ha dejado claro en las recientes revisiones de la ley de protección de datos, como el GDPR implementada en la UE, que las organizaciones deben saber dónde se encuentran sus datos. Es un requisito legal y, a medida que veamos que se introducen regulaciones actualizadas en todo el mundo, este requisito será obligatorio para la mayoría de las organizaciones.
Impacto de la geolocalización en las normativas
No sólo la geolocalización de los datos es un requisito, sino también la comprensión de por qué la organización tiene estos datos, cuánto tiempo puede retenerlos, qué controles organizativos y de seguridad se requieren, y qué acuerdos existen para transferir estos datos transfronterizos a otros responsables y encargados del tratamiento de datos. Todas estas son preguntas que la organización debería poder responder fácilmente. A medida que vemos una consolidación de estos requisitos, también vemos una aceleración en el conocimiento de los consumidores de sus derechos bajo las nuevas leyes de protección de datos y privacidad. El RGPD (o GDPR), la LGPD, CCPA y la POPIA son sólo algunos ejemplos nacionales o estatales en los que las autoridades nacionales han dejado claro que la protección de los datos de los consumidores es fundamental y están dispuestas a tomar medidas incluso contra las organizaciones más grandes que no se toman en serio sus obligaciones.
En todo el mundo, los países y las Uniones han aplicado fuertes exigencias para controlar y proteger los datos dentro y fuera del país. Para estos países, la conectividad transfronteriza debe ser controlada y las organizaciones dependen de que existan acuerdos válidos. La complejidad de las normas vigentes sigue afectando a nivel global tanto a los departamentos de seguridad como a los de protección de datos, que necesitan visibilidad y control sobre su red y sus sistemas para no incumplir estas leyes. Para muchas de estas leyes, no hay una respuesta sencilla, ya que las normas y directrices siguen desarrollándose para respaldar mejor las intenciones del gobierno de apoyar tanto su economía como sus acuerdos comerciales.
Las recomendaciones para gestionar mejor estos campos de minas normativos incluyen el mapeo de los flujos de datos de la organización para entender realmente dónde puede necesitar su organización hacer frente a estas cuestiones antes de que impacten negativamente a la misma. Entender desde dónde y hacia donde se conectan los empleados en los servicios en la nube, por ejemplo, ayudará a mantener un inventario transfronterizo de las ubicaciones que pueden necesitar un control y/o análisis adicional. Compartir esta información proporcionará una mayor visibilidad en toda la organización y puede ayudar a los departamentos de asesoría jurídica, de gestión de riesgos y de auditoría a comprender los requisitos La creación de una sólida coalición junto al departamento de seguridad que tenga en cuenta la variable de la ubicación que aporta la computación en la nube es un buen primer paso para gestionar estas fuerzas.
Fuerza 6: Fuerzas sociales y económicas globales
Una estrategia de seguridad también debe ser implementada para ser consciente de las influencias externas, como las fuerzas sociales y económicas globales. Es posible que los empleados no siempre piensen en estas fuerzas que pueden influir en su aplicación de colaboración favorita. ¿Cómo podrían saber que están utilizando un almacenamiento de datos en el que el proveedor tiene condiciones que permiten que estos datos se utilicen para fines secundarios? Es muy fácil registrarse en una nueva aplicación sin ser consciente de las posibles ramificaciones. Otro aspecto es el uso de estos datos para entrenar algoritmos existentes que pueden utilizarse para mejorar la comprensión del comportamiento. Todas las buenas evaluaciones de riesgos de proveedores y terceros deberían descubrir el potencial de todo esto, sin embargo, si la organización ha aceptado el uso del Shadow TI, ¿quién es responsable de estos controles y equilibrios? Estas fuerzas e influencias deben ser consideradas e integradas en una estrategia centrada en proteger tanto a los empleados frente a la información errónea como a la organización de la posible pérdida de valor por sus datos.
El cambio en los presupuestos de seguridad
El movimiento hacia las aplicaciones en la nube también está teniendo un gran impacto en el dinero a invertir en los presupuestos de seguridad. Para 2024, las inversiones en seguridad en la nube pasarán del actual ~20% del presupuesto a más del ~60% del presupuesto de seguridad. Las inversiones más importantes se alejarán de las Gateways de Seguridad Web (SWG) basadas en equipamientos locales para pasar a herramientas SWG de nueva generación basadas en software que combinan la funcionalidad de prevención de fuga de datos (DLP), seguridad web y Gateway de Seguridad de Acceso a la Nube (CASB) en una sola plataforma. Cuando se implementan en línea, las tecnologías pueden supervisar y proteger la información que fluye hacia y desde todos los sistemas de negocio críticos.
Eventos globales
A menudo, los acontecimientos globales afectan a la estrategia de seguridad de forma imprevista. El virus de la COVID-19 dejó obsoletos casi todos los planes de continuidad del negocio. Antes de COVID-19, si usted se dirigía a su equipo ejecutivo y le decía "Quiero crear un plan con suficiente capacidad de red segura y seguridad de endpoints móviles para permitir que toda la plantilla se haga remota a la vez", se habrían reído de usted. Ahora que las plantillas remotas a nivel global son una realidad, las mejores organizaciones de seguridad están aumentando su capacidad y rehaciendo rápidamente sus estructuras de control de seguridad de redes y endpoints para permitir la visibilidad y el control de sus trabajadores remotos.
La “Gig Economy”
Al margen de la pandemia, las fuerzas económicas han estado cambiando en los últimos años desde la última crisis financiera. Las organizaciones han visto el aumento y el valor de la gig economy, que se basa en trabajadores flexibles, temporales y/o autónomos que utilizan la tecnología y las plataformas para realizar proyectos y la transformación digital. En Estados Unidos, se estima que más de la mitad (53%) de los trabajadores de la Generación Z son autónomos, un número que se prevé que crezca en los próximos 5 años en todas las generaciones (Fuente: UpWork). Teniendo en cuenta este crecimiento, las organizaciones se están alejando de los tipos tradicionales de procesos de negocio para ser más abiertas y flexibles y esperarán una mayor colaboración de herramientas y tecnología entre los empleados permanentes y los autónomos.
Este movimiento empujará a los departamentos de seguridad a entender y tratar mejor con una plantilla dinámica en la que los comportamientos tendrán que ser alineados y supervisados. Atrás han quedado los días en los que se dedicaba tiempo a un equipo permanente y se impartía formación en materia de seguridad y se sensibilizaba al respecto. En su lugar, se requiere una formación de concienciación de seguridad más ágil y en tiempo real que pueda educar a un empleado o a un autónomo cuando tome una decisión que introduzca un alto nivel de riesgo para la organización. Esta forma de educación refuerza la estrategia y permite la flexibilidad de dar soporte a una plantilla que podría cambiar mensual, semanal o incluso diariamente sin dañar su productividad.
Impacto de las guerras comerciales y los conflictos nacionales en la estrategia de seguridad
La estrategia de seguridad también se ve afectada por las guerras comerciales y los conflictos nacionales. No es raro ver un aumento de los ciberataques durante e inmediatamente después de una guerra comercial o un conflicto nacional. En la historia reciente, hemos visto esto en acción en Asia y Oriente Medio. Poco después del acontecimiento nacional, se produjo un aumento significativo de los ciberataques.
Mientras se preparan para el próximo evento, las mejores organizaciones de seguridad hacen seguimiento de los eventos nacionales y luego ajustan su análisis de las fases de los ciberataques, la vigilancia de las amenazas y las reglas de monitoreo para prepararse y reaccionar ante la próxima amenaza potencial. Hay que tener en cuenta la cadena de suministro, ya que aunque la mayoría de las organizaciones no sean el objetivo directo, una perturbación en la cadena de suministro podría tener el mismo efecto. Es fundamental comprender qué servicios consume su organización y con qué fin, así como entender las necesidades de su organización para suministrar bienes y servicios a sus clientes.
¿Quiere saber más sobre las fuerzas restantes? Puede leer la parte 1 aquí y la parte 3 aquí.
Si bien es cierto que el año 2020 ha cambiado el panorama de la seguridad en la nube, Netskope fue creado expresamente para SASE. ¡Déjenos mostrarle por qué durante nuestra semana SASE! ¡Haga clic aquí para más información!
