Fabiano Finamore Country Manager Iberia, Forcepoint

El fantasma de GDPR se avecina cada vez más, y aunque algunas compañías verán la nueva regulación como un dolor de cabeza mientras trabajan para poner en orden sus procedimientos de gestión de datos, la amenaza de sanciones serias para aquellos que no cumplen da una nueva perspectiva de la importancia de la seguridad de los datos. Aquellos que quieran ver el lado positivo de esta situación verán la próxima regulación como una oportunidad para poner su nube en orden. Y para los proveedores de la nube, GDPR sirve como una oportunidad vital para diferenciarse de los competidores al ofrecer una solución estanca a la seguridad de los datos.

Si bien gran parte de la nueva regulación será una evolución bastante directa -o endurecimiento- de los procesos existentes, aún representará un nuevo desafío para las empresas con pequeños equipos de TI o cuya experiencia no radica en la seguridad de los datos.

En el pasado, era bastante fácil externalizar la gestión de datos. Sin embargo, GDPR requerirá un nivel adicional de confianza para aquellas compañías que subcontratan el almacenamiento y procesamiento de datos confidenciales que poseen sobre las personas. Si ocurre una violación grave en su procesador de datos de terceros, por ejemplo, debe poder confiar en que le informarán de inmediato y trabajarán con usted para solucionar el problema.

Huelga decir que, con las participaciones aumentadas por GDPR, algunas empresas serán más cautelosas acerca de qué proveedores de terceros eligen traer. Tendrán que hacer preguntas difíciles a sus proveedores, y deberían recibir transparencia en respuesta. Esta no es una oportunidad para que los procesadores de datos pasen inadvertidos sobre los ojos menos experimentados de sus clientes.

La nube es la nueva norma

Este es particularmente el caso de las empresas que buscan transferir su gestión de datos a una solución basada en la nube, ya sea que sea GDPR lo que los motivó a buscar una solución más segura y flexible o no.

Curiosamente, en los primeros días de la computación en la nube, la seguridad era vista como el punto débil de la solución, y las organizaciones preferirían mantener sus datos, aplicaciones e infraestructura en las instalaciones. Hoy, sin embargo, ese pensamiento ha cerrado el círculo. El tráfico en la nube está creciendo rápidamente, con un aumento esperado de tres veces en los años 2016-2021. Las personas que confían en la nube pública ahora superan a las que no lo hacen en una proporción de 2 a 1, según un informe de seguridad reciente de Intel.

Sin embargo, estas proyecciones no hacen que el proceso de transferencia y seguridad de datos en la nube sea menos desalentador para las organizaciones que aún no han dado el salto.

Cediendo control

Para las empresas que aún no se han mudado, a menudo es un problema de control lo que las detiene. Este es particularmente el caso si están acostumbrados a poder aplicar protocolos específicos y algoritmos hashing a su infraestructura local. Pasar a la provisión en la nube, y la provisión a través de un tercero, puede parecer perder el control.

Además, puede haber un problema de saber dónde viven sus datos importantes (clave si planea transferirlo a otra parte). En su modelo actual en las instalaciones, las empresas pueden no saber exactamente qué datos están y cómo deben clasificarse. ¿Cuál es el procedimiento de manejo de información para cualquier documento dado, imagen o depósito de código de programa? ¿Qué base de datos contiene su datasheet de cliente actual?

Luego, una vez que haya localizado y reunido todos los datos que se transferirán, debe considerar cómo moverlos de manera segura, y tener claro de quién es la responsabilidad de garantizar que el destino de almacenamiento en la nube ya sea seguro. Múltiples informes recientes han resaltado los peligros potenciales de malentender este proceso.

Donde yace la responsabilidad

Huelga decir que los proveedores de servicios en la nube tienen un papel que desempeñar aquí.

Por supuesto, están ahí para proporcionar herramientas y servicios de inventario de datos para ayudar a identificar y buscar datos en las redes de los clientes, y cifrar datos para la transferencia segura (no se ha dedicado a todo el trabajo de localizar sus datos solo para enviarlo a través de Internet sin encriptarlo), pero también hay un trabajo importante por hacer antes de esto.

Los proveedores de servicios en la nube tienen la responsabilidad de ser transparentes con sus clientes. Cuando una empresa atraviesa un proceso de adquisición y solicita información para ayudarlo a determinar qué proveedor elegir, la responsabilidad del proveedor de la nube es absolutamente honesta sobre lo que puede y no puede hacer. Lo que está en juego es simplemente demasiado alto para comportarse de otra manera.

Aquí es donde comienza la relación de confianza: el primer trabajo de un especialista en seguridad es ayudar a los clientes potenciales a tomar decisiones informadas sobre cómo mantener sus datos seguros (y dentro de los límites de GDPR).

En Forcepoint, hemos establecido un programa de confianza en la nube dentro de nuestro negocio, por lo que tenemos la capacidad de infundir confianza en nuestros clientes. Su objetivo es asegurar que no solo se evalúe a nuestra compañía para todos los certificados y acreditaciones más valiosos disponibles de los organismos de la industria, sino que nuestros clientes puedan verificar que hemos obtenido dichos certificados en la medida en que lo solicitamos. Consideramos que este programa es esencial para nuestros clientes y nos aseguramos de que cumplan con GDPR.

Un futuro más seguro

En última instancia, GDPR es una respuesta a la creciente prevalencia e importancia de los datos confidenciales para el funcionamiento de nuestros negocios. Y la seguridad es posiblemente el aspecto más importante de todos.

Los gerentes de TI deberían estar tomando GDPR como su señal: si no logran poner su seguridad en la nube en orden ahora, podrían tener consecuencias devastadoras en un futuro no muy lejano.