El auge de los lagos de datos y los patrones adyacentes, como el data lakehouse, les ha dado a los equipos de datos una mayor agilidad y la capacidad de aprovechar grandes cantidades de datos. Sin embargo, esta habilidad tiene consecuencias potenciales. La legislación de privacidad de datos en constante evolución y el impacto de las principales infracciones de seguridad cibernética han llevado al llamado a un uso responsable de los datos, lo que requiere nuevos enfoques para la privacidad y seguridad de los datos. Pero, ¿cómo abordan los CISO este imperativo inminente y encuentran un método que les permita usar los datos de manera responsable para acelerar la innovación y proteger el negocio?
Los dos enfoques más comunes para la seguridad de datos y sus compensaciones
Hay dos enfoques comunes para implementar seguridad de datos: copias seleccionadas e implementación de un control de acceso detallado en cada plataforma de datos. Si bien son populares, no son las mejores prácticas, ya que ambas tienen importantes compensaciones.
EJECUCIÓN DE UN PROGRAMA EFECTIVO DE GOBERNANZA DE DATOS
Aprenda a planificar, diseñar, crear y mantener un programa de gobierno de datos exitoso con nuestra capacitación en línea en vivo, del 24 al 27 de octubre de 2022.
El enfoque que se usa con más frecuencia es seleccionar copias, donde los datos confidenciales se eliminan o transforman. Por ejemplo, el registro de oro o los datos autorizados podrían incluir datos de todos los países e incluir información clara del cliente. Luego, las organizaciones pueden copiar datos en conjuntos más pequeños, uno para cada región geográfica donde los datos de información de identificación personal (PII) se ofuscan de acuerdo con las reglas de esa región. Sin embargo, este enfoque es costoso, complejo, propenso a errores y menos adaptable a los requisitos cambiantes.
Las copias seleccionadas requieren equipos más grandes de soporte, seguridad e ingeniería de datos. Y aunque el almacenamiento en la nube es barato, no es gratis; copias de big data equivalen a más big data, lo que aumenta los costos de computación en la nube con bastante rapidez. El mantenimiento de copias seleccionadas también consume recursos informáticos. Las empresas no quieren vincular sus clústeres de Databricks o nubes de datos Snowflake que ejecutan canalizaciones de datos de rutina. Su poder de cómputo es mucho más valioso cuando se aplica a proyectos de análisis y ciencia de datos.
El segundo enfoque más común es implementar un control de acceso detallado (FGAC) en el nivel de la plataforma de datos. A primera vista esto parece ideal. Todos los consumidores de datos trabajan con conjuntos de datos autorizados. No hay retrasos, ya que todos los usuarios obtienen acceso a los datos autorizados a medida que llegan, sin necesidad de esperar a que se publique la copia seleccionada. Y es una gran reducción de la carga para el equipo de ingeniería de datos o DataOps. ¿Hasta aquí todo bien, no?
La ironía es que a medida que más proveedores adoptan FGAC, el problema empeora. ¿Por qué? Silos. Es hacerlo silos ¿Por qué reproducir la misma política en dos o más plataformas? O mejor aún, ¿es posible reproducir exactamente la misma política en más de una plataforma de datos? ¿Y se pueden mantener a medida que cambian los requisitos?
Para abordar la gobernanza del acceso a los datos de una manera que ofrezca un valor empresarial verdaderamente sostenible (SBV), los CISO deben pensar más allá de las capacidades de cualquier proveedor único. Las organizaciones solían mantener los ID de inicio de sesión y las contraseñas de los usuarios por separado para cada aplicación comercial, pero ningún equipo de TI profesional haría eso hoy en día. Por las mismas razones por las que las organizaciones estandarizan los sistemas de administración de identidades externos, necesitan un sistema de gobierno de acceso a datos que aborda tres problemas comunes: claridad, consistencia y economía de escala.
Desafíos: claridad, consistencia y escala
Tres de las preocupaciones más apremiantes con respecto a la seguridad de los datos son establecer políticas y procedimientos de control de acceso a los datos que sean claros para todas las partes interesadas en los datos, coherentes en toda la organización y que se puedan aplicar con poco esfuerzo a medida que los datos, las comunidades de usuarios y los requisitos reglamentarios van y vienen. Para garantizar una iniciativa de gobernanza de acceso a datos exitosa, los CISO deben comenzar por abordar estos problemas de frente:
Claridad: Aquí hay una pregunta común. ¿Qué significa desidentificar datos PII? ¿Significa enmascarar, tokenizar o devolver datos NULL (vacíos)? Aún más fundamental, ¿cómo clasifica cada organización los datos PII? ¿Qué sucede cuando los requisitos cambian, ya sea porque las nuevas regulaciones requieren un cambio en la política o porque una parte interesada recomienda un mejor enfoque? Por ejemplo, tal vez el equipo de la plataforma de datos recomiende que no es necesario dedicar potencia informática para tokenizar dinámicamente los números de teléfono. O un analista de negocios se queja de que enmascarar las direcciones de correo electrónico reduce la utilidad de los datos y, por lo tanto, quiere un token que mantenga la integridad referencial. Muchos equipos tienen interés en cómo se define y gobierna el control de acceso a los datos, y cuanto más fácil sea para las partes interesadas de datos no técnicos participar en el desarrollo y validación de esas políticas, más rápido se moverá la organización. La claridad es clave.
Consistencia: Es raro que una empresa se estandarice en una única plataforma de análisis de datos. Pero si el oficial de protección de datos (DPO) o el CISO se preocupan de que sea difícil de hacer cumplir privacidad de datos controla de manera consistente en un lago de datos como Amazon S3, un lago de datos como Databricks y una nube de datos como Snowflake? Los proveedores brindan diferentes niveles de soporte para el control de acceso a datos y la complejidad de cada uno también puede variar significativamente. Sin un marco común para definir y hacer cumplir las políticas de control de acceso a los datos, los equipos tienen que trabajar más duro. Sin un marco común, también son menos capaces de identificar y cerrar las brechas de seguridad. Las políticas que no se pueden usar en todas las plataformas o que no brindan resultados consistentes generan dudas y socavan sus esfuerzos para aumentar la alfabetización de datos en toda la organización.
Escala: Las organizaciones pueden encontrarse con problemas de escala de varias maneras. Sin claridad y consistencia, la gobernanza del acceso a los datos se vuelve mucho más difícil a medida que las organizaciones amplían los usuarios, las aplicaciones, los casos de uso de datos, etc. También hay problemas adicionales. Es común ver controles de acceso a datos definidos para recursos específicos. Por ejemplo, una regla o permiso podría restringir el acceso de los usuarios a una columna con nombre en una tabla con nombre en una base de datos con nombre. Las reglas de nivel de recursos no se escalan.
Cuatro pasos para escalar la gobernanza del acceso a los datos para el valor empresarial sostenible
Están surgiendo soluciones modernas de gobierno de acceso a datos para ayudar a las organizaciones a aplicar controles de acceso a datos de manera clara y consistente con un esfuerzo mínimo. Los componentes clave para una solución escalable de gobernanza de acceso a datos son:
- Clasificación de datos automatizada: Es importante comenzar por establecer taxonomías claras para la clasificación de datos y quién tiene la autoridad para definir esas clasificaciones. Las organizaciones pueden usar herramientas automatizadas para descubrir y clasificar automáticamente los datos. Combine la tecnología con la supervisión adecuada de los administradores de datos para validar esas clasificaciones y construir la base para una gobernanza de acceso a datos clara, consistente y escalable.
- Gestión de pólizas universales: Separar la política de datos de la plataforma de datos. Las políticas deben resumirse para que sean comprensibles para las partes interesadas de datos no técnicos y puedan aplicarse en una variedad de plataformas. Escriba una vez aprovechando los metadatos como los atributos de usuario y datos, luego simplemente registre los datos y las comunidades de usuarios que deben regirse por la política.
- Aplicación dinámica de políticas: Monitorear y detectar una violación de acceso a datos no es seguridad de datos moderna. Las políticas deben aplicarse en el punto de cada consulta: filtre, oculte, enmascare y tokenice datos confidenciales dinámicamente para asegurarse de que cada solicitud esté debidamente autorizada.
- Inteligencia de uso de datos: Cuando el control del acceso a los datos es externo a las plataformas de datos subyacentes y está centralizado, la auditoría es más fácil y también lo es demostrar el cumplimiento normativo. Con una visión holística, los equipos de seguridad y cumplimiento pueden descubrir fácilmente quién tiene acceso a datos confidenciales y cómo y cuándo los usaron.
Encontrar el equilibrio
La clave para encontrar el equilibrio entre la seguridad de los datos y la agilidad empresarial es aprender a escalar la gobernanza del acceso a los datos. Los datos, las comunidades de usuarios y las aplicaciones están en constante evolución, al igual que los requisitos reglamentarios. Los ataques internos van en aumento, lo que puede tener consecuencias devastadoras para la empresa, sus clientes y socios. Con un gobierno de acceso a los datos que escala y se adapta a los cambios, los CISO pueden continuar brindando valor a partir de los datos y, al mismo tiempo, proteger los datos confidenciales contra el uso indebido o el abuso.
