Surcando aguas inexploradas: Los desafíos de gobernar el acceso a datos no estructurados

En el primer capítulo de «Surcando aguas inexploradas» hablamos sobre el impacto que los datos no estructurados están teniendo en los equipos de los programas de gobierno de la identidad a medida que los datos confidenciales se escapan rápidamente de las aplicaciones y plataformas y acaban residiendo en un amplio espectro de sistemas de almacenamiento de archivos. En este capítulo, nos sumergiremos «bajo las aguas» para ayudar a explorar algunos de los desafíos clave a tener en cuenta conforme planifica su estrategia para calmar los mares del gobierno del acceso a datos no estructurados almacenados en archivos.

Comencemos describiendo las razones principales por las que el gobierno del acceso a datos no estructurados requiere un enfoque diferente que el empleado para gobernar el acceso a aplicaciones y plataformas tradicionales.

  • Falta de visibilidad: No podemos aplicar el viejo dicho de que «lo que no ves no puede hacerte daño» a la ciberseguridad y a las exigencias de cumplimiento normativas. De hecho, mientras que muchas organizaciones se fijan en el RGPD, que se ha puesto en marcha en mayo de 2018, la capacidad de descubrir y mitigar los riesgos antes de que se conviertan en filtraciones se hace cada vez más relevante de cara a las significativas penalizaciones económicas que pueden estar en juego. Conseguir visibilidad para el lugar se esconden los datos confidenciales durante los intercambios de archivos, en plataformas de colaboración o incluso en sistemas de almacenamiento en la nube es un desafío intimidante. Requiere sistemas y procesos que puedan identificar rápidamente archivos que contienen datos confidenciales (por ejemplo, información personal identificable o datos de tarjetas de crédito) y realizar referencias cruzadas sobre quién (y cómo) tiene acceso a los datos. Cabe señalar que esta no es una actividad que haces un día y te olvidas. Todos los días, los usuarios finales crean y almacenan nuevos archivos, lo que requiere una supervisión continua.
  • Confusión respecto a la propiedad: todos hemos sufrido el desafío que plantean unas líneas de responsabilidad poco claras. Todos en la organización pueden saber que un problema existe, pero a veces es difícil conseguir que alguien se ofrezca para arreglarlo. Gobernar el acceso a datos no estructurados tiende a ser uno de esos tipos de problemas. Todo el mundo está de acuerdo en que es un riesgo y debería gestionarse, pero pocas organizaciones han tomado la decisión de quién se encarga. En SailPoint vemos partes diferentes de la organización informática encargadas de actividades relacionadas con la protección de los datos no estructurados. A veces es el equipo de almacenamiento, a veces es el equipo de gobierno de datos y otras veces es el equipo de IAM. En realidad, todos esos grupos pueden afectar de forma positiva a la seguridad de los datos confidenciales, pero el equipo de IAM debería estar directamente involucrado en el gobierno del acceso como parte de un enfoque integral. Es la mejor posición para establecer políticas de acceso empresarial de forma consistente y proporcionar un conjunto perfecto de servicios de gobierno de la identidad al negocio.
  • Cantidad de datos: el crecimiento de los datos no estructurados en la empresa ha alcanzado proporciones épicas. Veo constantemente estimaciones de que una parte abrumadora de los datos que se usan en una empresa hoy en día son datos no estructurados. La estimación aceptada generalmente es del 80 %, pero he visto estimaciones que llegan al 90 %. Lo que eso significa realmente es que los equipos de gobierno de la identidad no pueden esperar resolver el problema a menos que adopten un enfoque diferente sobre cómo gobiernan el acceso a las aplicaciones, las cuentas y los privilegios. El nivel de detalle de los derechos de acceso, cuando se combina con el enorme volumen de datos que deben ser gobernados, requiere que las organizaciones prioricen las actividades de gobierno en los archivos más confidenciales y las localizaciones de almacenamiento de archivos. También precisa que las organizaciones involucren y capaciten a la propiedad empresarial de la toma de decisiones sobre el gobierno de la identidad designando a la mejor persona para tomar una decisión relacionada con el acceso acerca de quién debe tener acceso durante la aprobación o acceso a los procesos de certificación.

Proteger los datos confidenciales almacenados en archivos se está convirtiendo rápidamente en una de las mayores prioridades para las organizaciones de cualquier tamaño. Una de las formas más efectivas de asegurar que los datos no estructurados en sus varias formas (por ejemplo, hojas de cálculo y documentos) y todas sus localizaciones dispersas (por ejemplo, sistemas de intercambio de archivos y de almacenamiento en la nube) solo los puedan ver usuarios autorizados es gobernar su acceso. Y eso significa que los equipos de identidad deben reforzar y comenzar a explorar un curso que incluya gobernar el acceso a los sistemas de almacenamiento de archivos, sin importar que esos sistemas estén físicamente en el propio centro de datos o en la nube. Ayudando a que su organización adopte un enfoque integral para el gobierno del acceso a aplicaciones, plataformas y sistemas de almacenamiento de archivos, reducirá el riesgo de filtraciones y, al mismo tiempo, ayudará a acelerar la colaboración en la empresa.

En la siguiente capítulo de «Surcando aguas inexploradas», volveremos a la superficie y exploraremos algunos de los enfoques innovadores que ofrece SailPoint en el área del gobierno del acceso a archivos y los datos no estructurados que contienen.

Para obtener más información sobre las barreras que afrontan las organizaciones a la hora de tratar sus datos no estructurados, puede leer nuestro documento maestro reciente, «Asegurar el acceso a los archivos con el gobierno de la identidad».

Debate