Hemos visto cambios sin precedentes en los estilos de trabajo de las empresas y los usuarios. Algunas empresas se han trasladado exclusivamente a nube y centro de datos, algunos han hecho lo contrario y han comenzado a llevar el borde de su red de nuevo a un dominio físico que controlan, pero esto no es estrictamente cierto, porque cada dispositivo seguirá residiendo con su usuario.
Sin embargo, podemos ver que las personas buscan una forma de trabajo más híbrida y flexible y la necesidad de proteger múltiples entornos está aumentando, no disminuyendo, para la mayoría.
Parte del problema al que nos hemos enfrentado tradicionalmente ha sido la percepción del riesgo y asegurarnos de que las empresas comprendan que no están trasladando la responsabilidad de los datos que poseen simplemente cambiando o difundiendo su geografía. El nivel de violación de datos de terceros ha aumentado los niveles de preocupación y la ubicación física de los datos es parte de esa preocupación.
Por supuesto, esta no es de ninguna manera la única razón para las opciones de centros de datos múltiples o difusos, pero el conocimiento de esto es muy importante.
Al elegir un proveedor y un centro de datos, existen algunas consideraciones de seguridad clave y algunas de ellas deben incluirse en su acuerdo de nivel de servicio (SLA), por lo que tener la seguridad involucrada en la especificación y la adquisición es una muy buena idea.
Inicialmente nos vendieron la nube porque era segura y resistente y ahora quieren que compremos soluciones de seguridad y resistencia en la nube, por lo que leer la letra pequeña es vital y no asumir nada.
¿Qué pueden hacer los profesionales de la seguridad? Concéntrese más en el negocio, comprendiendo las formas de trabajo de la organización, las necesidades de los usuarios y cómo la tecnología puede permitir y mejorar la eficacia y la eficiencia empresarial dentro de un marco de gestión de riesgos, no de evitación de riesgos.
Comuníquese con sus pares y líderes empresariales de una manera más profesional y empresarial para que los riesgos se articulen por completo, se mitiguen de manera adecuada y pragmática de acuerdo con los apetitos de riesgo acordados, con la aceptación y la propiedad del riesgo dentro del negocio, no del equipo de seguridad.
Cosas para considerar:
- ¿Sabe exactamente qué datos residirán y dónde?
- ¿Ha aceptado que los datos se trasladen como parte de las medidas de control de costos?
- Como tal, ¿se le informará de algún movimiento?
- ¿Ha colocado puntos finales duros para garantizar que los datos no se trasladen más allá de esos puntos a ubicaciones inadecuadas o ubicaciones que puedan causar problemas contractuales con los clientes?
- ¿Tienen sus contratos de clientes existentes algún requisito reglamentario para los datos almacenados?
- ¿Tiene derecho a una auditoría física de todas las ubicaciones?
- ¿Qué garantías de seguridad y certificaciones tiene el local, físicas e informativas?
- ¿La auditoría de seguridad de terceros o proveedores forma parte de sus prácticas comerciales estándar?
Cuanto más conectados estemos a nuestros activos de información, mejor. Esto no es solo un problema de seguridad y no es un problema de TI, es un problema comercial. Eso significa que el intercambio de información y la disponibilidad deben considerarse de manera tan completa como la seguridad de la información.