Jakub Jirsák - stock.adobe.com
La protección de los datos empresariales es una tarea vital para las empresas
El trabajo remoto y el paso acelerado a la nube cambiaron las necesidades de gestión de acceso e identidad en pandemia. Hoy las empresas deben aprovechar los avances para proteger sus datos, pero además deben sacarles valor.
En el escenario de un mundo absolutamente tecnologizado y conectado, las amenazas informáticas y los ataques cibernéticos han aumentado en número y complejidad en los últimos años. En este contexto, los delincuentes virtuales han puesto su mirada en el robo de la información de las empresas, con el fin de conseguir beneficios económicos que pueden llegar a ser de grandes dimensiones.
Para conocer qué ocurre hoy en este ámbito, y cuáles son los consejos que deben seguir las compañías, conversamos con Claudio Ordóñez, director de Ciberseguridad de Accenture Chile.
¿Cuál es la situación actual de la gestión de accesos e identidades en las empresas?
Claudio Ordóñez: Las empresas tuvieron dos cambios de paradigma en los últimos años. Primero, que se vieron obligadas por la pandemia a abrir sus fronteras. Ahora, todos sus colaboradores deben y pueden acceder desde cualquier punto. Por ende, tuvieron que implementar sistemas que permitieran este acceso y, adicionalmente, dar los permisos correctos en cada aplicación.
El segundo cambio es que se aceleró el paso a la nube, tanto en clientes como en usuarios. Esto generó un nuevo mundo de cómo mantener el acceso, sin perder confianza ni seguridad en los datos. Los datos ahora pueden ser de una forma mucho mejor, pero también deben ser configuradas estas nubes de una forma correcta.
¿Cuál es la situación actual de la privacidad y protección de los datos en las empresas?
Claudio Ordóñez: Muchas empresas ya tienen programas de protección de datos implementados. Entienden que el dato que tienen es valioso, pueden hacer correlaciones y pueden obtener información a partir de los datos existentes. Pero, eso mismo hace que exista una responsabilidad respecto de cómo y cuándo se utilizan estos datos. Por eso existen muchas nuevas leyes, no solo en Chile, con la ley de privacidad de datos, sino también en otros países. Por ende, se ha implementado no solo tecnología para proteger los datos, sino también procesos internos que definen cómo usar los datos de forma correcta, no solamente para protegerlos, sino que también para poder sacarle valor a los datos de sus clientes y de sus usuarios.
Finalmente, ¿qué consejos les daría a las empresas, respecto de implementar y manejar la gestión de accesos e identidades, y la privacidad y protección de datos?
Claudio Ordóñez: En un ambiente como el actual, donde no existen las facturas físicas y las fronteras están cada vez más difusas el acceso a las aplicaciones, la nube y a la misma red de las empresas, hoy es posible desde cualquier parte del mundo. No hay restricción para trabajar o para comprar, o para utilizar información desde cualquier parte. Ante esto, las empresas deben migrar a un modelo denominado zero trust o cero confianza. ¿Qué significa esto? Antiguamente, yo daba acceso a mi red y luego daba acceso a ciertas aplicaciones a las personas. Hoy, por principio, se deben cerrar todos los sistemas y solo dar acceso a aquellos que puedo identificar correctamente. Esto está apalancado por medio de varias tecnologías que tienen que ver con las tecnologías que estoy usando, con la nube, hasta gestores de identidad, los cuales son importantes porque me permiten optimizar y automatizar este concepto de cerrado para todo y solo abrir aquellos que yo voy a reconocer.
Cuando uno observa el mercado de tecnologías de protección de datos y privacidad, puede ver varios productos y varios servicios que son de harta ayuda, desde prevención de pérdida de datos, hasta gestores de identidad que nos permiten filtrar o configurar el acceso a distintos repositores de datos. El real impacto de un programa de protección de datos está en las personas, en el gobierno, en cómo voy a usar y cómo se van a cuidar los datos privados.
Hay empresas que tienen cierta facilidad en la protección de datos, como empresas de seguros, que toman datos de salud y entienden que son de carácter privado y, por lo tanto, lo cuidan bastante bien. Este mismo tipo de cultura debe existir para aquellos datos no tan claros que son privados, como una empresa de telecomunicaciones. Desde el área de márketing hasta el área de tecnología deben entender que deben ayudar a proteger esos datos y luego se pueden implementar herramientas que apoyen esa nueva cultura de datos.