Sin duda uno de los riesgos más grandes en esta era de hiper digitalización es el control de todos los datos que las empresas guardan de sus proveedores y clientes. Vivimos una era en la que el robo de datos e información es una de las ciberamenazas que se cristalizan en ataques con mayor frecuencia -en el país más atacado del mundo- , y eso hoy, además del potencial daño económico a las empresas -y sus clientes- tiene consecuencias jurídicas y económicas.
Sin embargo, la salvaguarda de datos es hoy una materia compleja, ya que las empresas tienen los datos personales de clientes y proveedores normalmente en múltiples lugares, algunos que controlan (sus servidores) algunos que subcontratan (servicios de nube) y algunos que están cerca de ellos pero no en su total control (móviles de sus empleados, computadoras personales de los mismos, bases de datos de proveedores, etc).
Los retos para poder tener un control real de datos y a la vez un cumplimiento con las leyes mundiales, se engloban en la materia de Gobierno de Datos, y en términos tecnológicos se resuelven con iniciativas de Seguridad de Datos y Administración de su Postura (DSPM por sus siglas en inglés), y hoy le quitan el sueño a muchas empresas llenas de data -como comercio, banca, aseguradoras, entretenimiento- por la serie de retos que presenta como:
1) Encontrar y Mapear toda la información tanto estructurada como no estructurada, en la nube, dentro y fuera de tus instalaciones.
2) Clasificar y etiquetar la data. Es fundamental distinguir la data que quieres, de la que ya no quieres (duplicada, redundante, obsoleta, obscura, regulada, secretos industriales, etc) utilizando Machine Learning para que continuamente mejore la calidad de la administración de datos.
3) Identificar accesos y riesgos de exposición. Una cosa es donde esta y otra muy diferente quién puede, y quién no debe tener acceso a cada tipo de datos, por lo que es esencial entender el manejo del dato en cada etapa de su vida hasta el cierre y borrado.
4) ¡Alertar y mitigar riesgos! - si un dato es robado, borrado o mal utilizado, es indispensable tener herramientas que alerten los riesgos, tanto de políticas como de riesgos internos, así como desarrollo de políticas que permitan mitigar esos riesgos.
5) Reportar. Un programa de Gobierno de Datos, tiene la capacidad de generar reportes continuos que aseguren el correcto manejo de los datos, su clusterización, las alertas de mal uso, especialmente en datos críticos. Este reporte debe alcanzar el nivel más alto de la organización.
Todos estos retos son endémicos del control de los datos en la era digital, sin embargo, la regulación hoy en dia (Ley Federal de Protección de Datos Personales en Posesión de los Particulares LFPDPPP en México y sus símiles en USA y Europa GDPR), solamente complica mucho más la ecuación para las empresas, ya que hoy están obligadas a proporcionarle todos los datos que tienen de sus consumidores y/o borrarlos a petición de ellos en menos de 20 días. Pongamos un ejemplo, imaginen que el día de hoy ustedes llaman a una empresa como Liverpool, y le piden que les proporcione todos los datos que tienen de ustedes, y posteriormente los borre. Liverpool tendrá que buscar entre los centenares de millones de datos personales que posee, encontrar el número de veces que tiene guardado cualquier dato tuyo -nombre, correo, tarjetas, todos tus consumos, tus pagos, etc.- y en solo 20 días responder a cada consumidor que lo requiera al respecto y/o borrar la totalidad de sus datos. Eso lo puede hacer cualquier consumidor en todo momento. De no cumplir la empresa se enfrenta a sanciones legales y económicas.
Como puedes ver, sin un correcto gobierno de datos, en esta era se vuelve una misión imposible tener el control tanto jurídico como de seguridad de todos los datos que las empresas tienen que, además se multiplican día con día, por lo cual, las grandes empresas toman hoy pasos acelerados para tomar control sobre esa digitalización que si bien, ha tenido enormes beneficios, implica también grandes responsabilidades.
CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
manuel@nektgroup.com @mriveraraba