Securiti Ranked #1 DSPM Vendor by GigaOm

View

Gobernanza del Acceso a Datos: Equilibrio Entre Seguridad, Privacidad y Necesidades del Negocio

Contributors

Securiti Research Team

Muhammad Faisal Sattar

Lead Data Privacy Analyst at Securiti

FIP, CIPT, CIPM, CIPP/Asia

Supongamos que posee un automóvil de lujo. No le darías las llaves a cualquiera que te las pida, ¿verdad? De hecho, le daría las llaves de su automóvil sólo a aquellos en los que confía absolutamente y, lo que es más importante, tiene razón real para conducir su automóvil.

La gobernanza del acceso a los datos funciona de la misma manera. Es el proceso de controlar y garantizar que solo las personas adecuadas puedan acceder a los datos sensibles de su organización para fines legítimos. Al igual que no le entregaría las llaves de su automóvil a nadie, una organización debe administrar cuidadosamente el acceso a sus datos y poner barreras a su alrededor.

Según un informe, el acceso no autorizado fue el principal factor que contribuyó al 43% de todas las violaciones de datos a nivel mundial en 2020. Esta estadística destaca la importancia de un proceso sólido de gobernanza del acceso a los datos, especialmente en una era en la que los datos existen en sistemas distribuidos y aplicaciones que abarcan múltiples entornos de nube.

Siga leyendo mientras nos sumergimos en el concepto fundamental de la gobernanza del acceso a los datos, por qué es esencial y los desafíos que enfrentan las organizaciones para implementarlo.

¿Qué es la Gobernanza del Acceso a Datos?

En una organización, los empleados pueden acceder a datos sensibles a través de muchas rutas. Pueden acceder a los datos a través de la interfaz de una aplicación o en escenarios de autoservicio, pueden acceder directamente a data lakes o almacenes de datos. De manera similar, en entornos de transmisión, los consumidores de datos pueden acceder a los datos en tránsito a través de temas de transmisión, muchas veces sin ninguna autorización.

Data Access Governance (DAG) es un conjunto de procesos que las organizaciones aplican para administrar y controlar el acceso de los usuarios a los datos corporativos, ya sean datos sensibles, datos en reposo o datos en movimiento. DAG permite a las organizaciones analizar, administrar y proteger los datos a través de políticas de control de acceso, haciendo que su acceso sea exclusivo para personas de confianza. Además, ayuda a los equipos de seguridad a establecer políticas de permisos basadas en sus roles y responsabilidades organizacionales.

Sin embargo, establecer DAG es más fácil decirlo que hacerlo. Surgen muchos desafíos al desarrollar e implementar una estrategia DAG en organizaciones con sistemas de datos distribuidos y un panorama de datos masivo, como infraestructuras de múltiples nubes.

Principales Desafíos que Obstaculizan la Implementación de una Gobernanza de Acceso Efectiva

Según una encuesta, el 76 % de las organizaciones a nivel mundial y el 90 % de las grandes organizaciones utilizan infraestructuras de múltiples nubes. Los entornos de múltiples nubes abren muchas oportunidades para las organizaciones, permitiéndoles reducir costos, acelerar las implementaciones y expandir su presencia global.

Sin embargo, los entornos de múltiples nubes tienen complejidades inherentes, ya que cada proveedor de servicios en la nube tiene características, controles y limitaciones distintos. Aparte de las complejidades de múltiples nubes, el volumen de datos cada vez mayor y la amplitud de los sistemas donde existen los datos dificultan la identificación, catalogación y gestión del acceso a datos sensibles.

Información Insuficiente Sobre el Acceso a Datos Sensibles

Uno de los desafíos principales que enfrentan las organizaciones al administrar controles de acceso efectivos en torno a sus sistemas de datos, aplicaciones y los datos mismos es la falta de conocimientos granulares. Las herramientas de gestión de acceso a la identidad (IAM) nativas de la nube, aunque permiten a los equipos descubrir y establecer políticas de acceso en torno a los sistemas de datos, carecen de contexto de datos sensibles.

Sin saber qué tipo de datos sensibles residen en un sistema, no se puede determinar qué restricciones de seguridad, privacidad y cumplimiento se aplican a los datos. Sin este contexto, es un desafío para las organizaciones decidir quién debe tener qué nivel de acceso al sistema de datos o los diferentes elementos de datos dentro de él.

Sin los conocimientos mencionados anteriormente, los equipos de gobernanza de acceso no pueden obtener visibilidad de quién accede a los datos sensibles, desde qué geografías acceden o cómo se utilizan los datos.

Falta de Mapeo de Datos Sensibles con Regulaciones Globales

El cumplimiento de las normas de privacidad y protección de datos es una de las principales responsabilidades de las organizaciones a nivel mundial. Las organizaciones deben cumplir con las regulaciones para protegerse contra las multas regulatorias y proteger la privacidad de los clientes y garantizar la confianza del cliente.

Sin embargo, muchas veces es difícil para las organizaciones interpretar regulaciones globales complejas debido a la falta de conocimientos legales profundos. Las organizaciones necesitan un lugar central para comprender qué regulaciones se aplican y, por lo tanto, qué controles de acceso deben implementar para mantenerse en línea con esas regulaciones. Hacerlo manualmente y sin un conocimiento legal completo de cada regulación es difícil.

Acceso con Privilegios Excesivos

La naturaleza compleja de una infraestructura de múltiples nubes hace que sea un desafío para los equipos de gobierno de acceso administrar controles de acceso efectivos y garantizar que los usuarios tengan el nivel más bajo de acceso a datos o recursos para realizar sus tareas.

De manera similar, cada proveedor de servicios en la nube proporciona diferentes configuraciones o herramientas de administración de acceso. Estas herramientas tienen ciertas limitaciones que dificultan que las organizaciones vean sus políticas de acceso bajo un mismo techo de manera integral. El error humano es otra preocupación cuando se trata de acceso con privilegios excesivos. Por ejemplo, si una identidad con privilegios de administrador queda expuesta en un incidente de seguridad, el atacante tendría el mismo nivel de acceso para ver, modificar e incluso robar datos sensibles, lo que daría lugar a un grave incidente de filtración de datos.

Estas preocupaciones principales para las organizaciones de múltiples nubes dificultan su capacidad para implementar un modelo de acceso basado en el principio de privilegio mínimo (POLP).

Oportunidades Perdidas Debido a La Falta de Intercambio De Datos

Las organizaciones tienen diversas obligaciones en torno a los datos con respecto al cumplimiento, la seguridad, la privacidad y la gobernanza. Deben asegurarse de que los datos estén bien protegidos, se utilicen adecuadamente y se compartan de forma segura. Es por esas obligaciones que las organizaciones tienden a bloquear el acceso a sus datos cuando se trasladan a la nube. La mayoría de esos datos también contienen información valiosa que las empresas pueden necesitar compartir externamente con socios de negocios.

Dado que las organizaciones no tienen una imagen completa de su panorama de datos o qué datos sensibles existen y cómo se comparten, no pueden colocar controles de seguridad efectivos a su alrededor o compartirlos de manera segura entre equipos internos y socios comerciales externos mientras mantienen restringido el acceso a los datos sensibles.

Otro problema que impide que las organizaciones compartan datos de manera generalizada entre los equipos es que no tienen una solución uniforme para enmascarar fácilmente los datos sensibles. El enmascaramiento de datos es crucial para el intercambio de datos, ya que ayuda a proteger la información sensible contra el acceso no autorizado y permite que se comparta con socios comerciales o proveedores para fines específicos. Numerosas plataformas de datos proporcionan funcionalidad de enmascaramiento de datos nativos. Sin embargo, existe la dificultad de utilizar el proceso de manera eficiente y a escala para proteger los datos sensibles. El proceso manual de identificar datos sensibles y luego aplicar el enmascaramiento dificulta que las organizaciones aprovechen los controles de enmascaramiento de datos a escala que sean consistentes en todos los entornos de nube.

Gestión de Control de Acceso Manual

La mayoría de las organizaciones tienen que pasar por el laborioso proceso de otorgar y revocar derechos de acceso a roles o usuarios específicos en una tabla, columna o nivel de fila en conjuntos de datos estructurados. No hace falta decir que una organización puede tener grandes volúmenes de datos estructurados en una miríada de activos de datos o aplicaciones en diferentes servicios en la nube. De manera similar, muchos roles y usuarios pueden acceder a un único conjunto de datos. Sin conocimientos completos sobre el panorama de datos sensibles, los usuarios, los roles, los permisos y las políticas de acceso, los equipos no pueden automatizar los controles de acceso y se quedan con la gobernanza manual del acceso a los datos, que es propensa a errores e ineficiente.

Beneficios de una Estrategia Robusta de DAG

A medida que las organizaciones adoptan globalmente una estrategia de nubes múltiples, la identificación de las políticas de acceso existentes y la mejora de los controles de acceso sobre los datos sensibles en todo el entorno se vuelven esenciales. Hay varias otras razones igualmente importantes por las que las organizaciones necesitan una estrategia sólida de gobierno de acceso a datos, como:

  • Las organizaciones tienden a enfrentarse a un panorama normativo diverso, estricto y en constante evolución cuando se trasladan a la nube o a múltiples nubes. Del mismo modo, deben cumplir con varios requisitos normativos, incluido el acceso controlado a datos sensibles. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea obliga a las organizaciones a garantizar que los datos se utilicen para el propósito con el que fueron recopilados, y se deben tomar medidas efectivas para protegerlos contra el acceso no autorizado. Con una estrategia DAG eficaz, las organizaciones pueden asegurarse de cumplir con estos requisitos y evitar multas reglamentarias, así como posibles violaciones de datos.
  • Garantizar la integridad de los datos es otro requisito importante en la mayoría de las leyes de privacidad de datos. Se refiere a la exactitud y confiabilidad de los datos. Con DAG, las organizaciones pueden garantizar la integridad de los datos al garantizar que solo las personas autorizadas puedan acceder a los datos. Con el acceso controlado, las organizaciones pueden evitar que el personal no autorizado realice cambios o modificaciones en los datos o establecer políticas claras para el uso adecuado de los datos.
  • Además, DAG permite a las organizaciones reducir los costos innecesarios asociados con el acceso no autorizado a los datos y las sanciones o multas monetarias resultantes por incumplimiento.

Componentes Centrales de una Estrategia DAG Efectiva

Los aspectos principales que se mantuvieron consistentes en los desafíos antes mencionados incluyeron la falta de información sobre los datos sensibles que residen en los activos de datos y una visión integral de los usuarios, los roles y las políticas de acceso en todo el entorno de múltiples nubes. Por lo tanto, entre los muchos otros componentes, los principales componentes de una estrategia DAG efectiva y eficiente deben incluir lo siguiente:

Descubrimiento y Clasificación de Datos Sensibles

El descubrimiento y la clasificación de datos sensibles son los componentes básicos de una estrategia DAG sólida y eficiente. Esto permite a las organizaciones obtener una imagen completa de sus datos sensibles en todo el entorno de datos corporativos, mientras que la clasificación ayuda a determinar la sensibilidad de los datos y, por lo tanto, permite a los equipos colocar los controles de acceso y seguridad adecuados. Obtener inteligencia sobre datos sensibles es fundamental para mejorar la gobernanza de acceso eficaz y respaldar las funciones de privacidad, seguridad y cumplimiento de una organización.

Inteligencia de Acceso a Datos

Al aprovechar los conocimientos generados por el descubrimiento y la clasificación de datos sensibles, los análisis de acceso a datos brindan a los equipos una imagen clara de qué usuarios están accediendo a datos sensibles en su entorno y cuáles son sus roles y permisos. Estos conocimientos analíticos son fundamentales para comprender la cantidad de datos sensibles a los que se accede y la frecuencia con la que se accede. Con esta información, los equipos de control de acceso pueden aislar a los usuarios inactivos y revocar su acceso.

Gestión de Acceso con Privilegios Mínimos

El modelo de acceso con privilegios mínimos permite a las organizaciones restringir el acceso de permisos de los usuarios al nivel más bajo. Los usuarios pueden usar los detalles de acceso proporcionados por el análisis de acceso a datos para comprender la frecuencia del acceso a datos sensibles y la cantidad de usuarios y roles que acceden a ellos. Al comprender el nivel de permiso otorgado frente a la frecuencia de acceso, los equipos pueden identificar usuarios y roles con privilegios excesivos para optimizar su nivel de acceso al mínimo.

Políticas Integrales de Acceso a Datos

Las políticas de acceso a datos establecen protocolos sobre cómo un usuario autorizado puede usar los datos de manera adecuada en una organización. Estas políticas cubren temas como el propósito del procesamiento, que es fundamental ya que puede determinar quién debe o no acceder a los datos sensibles. La definición de políticas de acceso adecuadas en torno a los datos sensibles ayuda a los equipos a garantizar el uso relevante de los datos y el cumplimiento de las normas de seguridad y los reglamentos de datos.

Enmascaramiento de Datos Confidenciales

El intercambio de datos es una parte crítica de cualquier negocio. Sin embargo, también es imperativo garantizar que los datos sensibles se compartan de forma segura. Para compartir datos de forma segura, los equipos pueden colocar políticas de enmascaramiento en tablas y filas mientras tienen en cuenta los datos sensibles y enmascaran los datos sensibles para los usuarios y roles que no necesitan acceder a ellos. De esta manera, las organizaciones no necesitarán bloquear todos sus datos por temor a la fuga de datos o riesgos regulatorios.

Automatización de la Gobernanza de Acceso

La automatización debe ser una parte integral de cualquier estrategia sólida de gobierno de acceso a datos. Monitorear usuarios y permisos o otorgar y revocar derechos de acceso en múltiples sistemas de datos, grandes volúmenes de datos y múltiples servicios en la nube es una tarea ardua y propensa a errores humanos. Con la automatización y la orquestación, los equipos pueden aplicar automáticamente reglas de políticas en múltiples sistemas de datos y conjuntos de datos para establecer un gobierno de acceso estricto de manera eficiente.

Gobierno e Inteligencia de Acceso a Datos de Securiti

Como uno de los módulos principales de nuestra nube de DataControls, Securiti Data Access Intelligence & Governance (DAIG) permite a las organizaciones establecer una sólida estrategia de gobierno de acceso a datos en entornos de varias nubes.

DAIG brinda a las organizaciones de hiperescala una solución holística que les permite proteger los datos sensibles del acceso no autorizado o los posibles riesgos de seguridad relacionados con la exposición de los datos. Al aprovechar la inteligencia de datos sensibles, DAIG le brinda información detallada sobre sus datos sensibles, dónde existen, quién accede a los datos, cuándo y desde qué geografías. Con esta información integral, puede establecer políticas y controles de acceso efectivos en torno a sus datos valiosos y, al mismo tiempo, habilitar el intercambio seguro de datos.

Consulte nuestro documento técnico para obtener más información sobre la gobernanza e inteligencia de acceso a datos.

Rejoignez notre newsletter

Recevez toutes les dernières informations, les mises à jour de la loi et plus encore dans votre boîte de réception


Partager


Plus d'histoires qui pourraient vous intéresser

What's
New