5 pasos para habilitar DataSecOps en tu organización

Decíamos, en la introducción al tema, que DataSecOps que es una combinación de conceptos vinculados a la operación en base a datos (data driven) y a la seguridad de los mismos, cuestión que constituye un factor esencial de ciberresiliencia. Desde otra perspectiva, DataSecOps es un enfoque ágil, holístico e integrado para coordinar la gestión de datos en constante cambio, con el objetivo de aportar valor al negocio manteniéndolos a resguardo.

En el último reporte elaborado por Satori, el 85% de los encuestados señala que la violación o exposición de los datos confidenciales de clientes es la principal preocupación en materia de seguridad de los datos. El 61% aún utiliza procesos y herramientas manuales para solicitar acceso a los datos, lo que resulta ineficaz y propenso a errores; prácticamente la misma cantidad de respuestas dan cuenta de que el cumplimiento de los requisitos de seguridad y conformidad con normativas ralentizaba sus proyectos de datos.

Echemos un vistazo a una arquitectura típica de DataSecOps: 

Fuente: Cuelogic

Como vemos, hay todo un conjunto de componentes que hacen a configurar un entorno que trabaje, de forma segura, con los datos que están involucrados en la operación cotidiana. 

¿Por qué DataSecOps remite a la agilidad?

Hoy en día, los procesos relacionados con los datos (los cambios que les afectan o su accesibilidad) son mucho más frecuentes e importantes que antes, y muchos usuarios deben utilizarlos de muy diversas formas y desde diferentes lugares con distintos dispositivos. 

¿Por qué cabe adoptar una perspectiva holística? 

A medida que los procesos de democratización de datos abren las puertas a más usuarios a hacer uso de ellos, esto se traduce en la diversificación de áreas involucradas en un programa de data governance. Si el único equipo con mentalidad DataSecOps en una organización es el equipo de ingeniería de datos, el equipo de seguridad, o incluso ambos, este enfoque no será suficiente.

¿Qué significa tener un abordaje de seguridad embebida?

Esto tiene que ver con que la seguridad está entrelazada con todos los proyectos y operaciones de datos. La seguridad no sólo debe entrar en escena a través de un control de seguridad al final de un proyecto de datos o en una auditoría anual; debe ser una prioridad absoluta e integrada en los proyectos desde su diseño, pasando por su inicio, y continuar incluso después de su finalización mediante una supervisión continua.

Quizás te interese seguir leyendo

Pilares de una estrategia de ciberseguridad efectiva

5 pasos para empezar a trabajar en este paradigma

• Descubrimiento continuo de datos y seguridad. Dado que la información está en constante movimiento y cambio permanente, la privacidad de los datos y su protección deben moverse a la par. Por eso, una buena práctica de DataSecOps es un proceso continuo y gradual, más que un proyecto de una vez, que puede demorarse y permanecer ineficaz ante nuevos riesgos.
  
  
• Colaboración en seguridad e ingeniería de datos. La seguridad debe ser parte del proceso de trabajo con datos desde el comienzo. El equipo de trabajo se constituirá con todos los actores que sean necesarios como si fueran uno, trabajando articuladamente en todas las etapas de manera continua. 
  
  
  
• Priorización de riesgos. Dado que los cambios son la constante, y se producen a gran velocidad, también los riesgos mutan permanentemente. Por eso, considerando que siempre los recursos son limitados, es necesario asignar niveles de riesgo para prestar mayor atención a los más peligrosos o que más daño pueden producir; al menos, para ocuparse primero de esos problemas potenciales. La contracara del análisis de riesgos es el mapeo e identificación de cuáles son los datos más sensibles a resguardar. 
  
  
  
• Políticas de acceso limpio a datos. Cuando las cosas empiezan a complicarse o no hay reglas deterministas en los permisos de acceso a los datos, las políticas deben ser claras y sencillas de interpretar e implementar. La gestión de los accesos es algo muy complejo; la tendencia actual parte de la premisa Zero Trust (cero confianza, sólo se brinda acceso a lo que indudablemente se necesita acceder, y se van agregando nuevos permisos en función de las necesidades). El tema es cuidar que las reglas no obstruyan el acceso o pongan en riesgo los datos, en desmedro del negocio. 
  
  
  
• Acceso simple y rápido… ¡y seguro! Sin comprometer la seguridad de los datos, el acceso a los mismos debe ser rápido y simplificado porque la dinámica del negocio así lo exige. ¿Imposible? No, si se consigue hacerlo con flujos de trabajo y políticas claras y eficaces de acceso a los datos.
  
  

Hoy en día, las organizaciones que progresan en su transformación digital con una perspectiva data-first, están considerando trabajar con la lógica del dato como producto y eso va de la mano con un enfoque DataSecOps. La adaptación de procesos, lógicas de trabajo y culturas organizacionales para avanzar en este camino, pueden requerir de la ayuda especializada para traducirse en un plan de trabajo efectivo y eficaz. 

Sigue leyendo

Anticipar y abordar ataques con una estrategia de Cyber Governance

¿Estás listo para emprender un camino que te llevará a liderar la economía de datos?