Con la expansión de los activos de datos y un número cada vez mayor de proveedores externos, las organizaciones tienen dificultades para mantenerse al día, dejando inadvertidamente brechas en su resiliencia de datos para que los ciberdelincuentes las aprovechen. Pero con tanto por abordar, ¿por dónde deben empezar las organizaciones?

Puede que no sea la respuesta que quieren escuchar, pero deben empezar de abajo hacia arriba. Con la enorme escala de los activos de datos y las redes de terceros, un enfoque improvisado simplemente empeorará las cosas. En lugar de reaccionar a las amenazas y a los cambios en la normativa, las organizaciones deben abordar la resiliencia de los datos de forma integral. De lo contrario, las brechas solo se multiplicarán.

Los desafíos del crecimiento de los datos

Bueno, "no sabes lo que no sabes", ¿verdad? Para las organizaciones que buscan abordar sus activos de datos, la primera prioridad es obtener una visión precisa de todo su panorama.

Los datos en general están en una trayectoria de crecimiento exponencial. En 2010, todo el universo digital ocupaba solo 2 ZetaBytes, mientras que solo en 2024, generamos 147 ZB. Y los datos empresariales son una parte enorme de esto, habiendo explotado en la última década. Ahora que la IA está firmemente en el panorama, esto solo aumentará aún más, y se espera que el mercado de la gestión de datos empresariales se duplique de nuevo en los próximos años, pasando de unos $111 mil millones en 2025 a $243 mil millones para 2032. Así que si las organizaciones no actúan ahora, nunca podrán ponerse al día.

Para muchas, la introducción de la IA habrá requerido más de unos pocos cambios ad-hoc en su enfoque de los datos, cómo se almacenan y qué herramientas se utilizan con ellos. Y el ritmo al que muchos se movieron para adoptar la tecnología probablemente ha resultado en más de unos pocos cambios implementados en sus activos sin los procesos más exhaustivos. Sin querer, esto ha creado silos, ya que diferentes departamentos utilizan la IA de diferentes maneras, dejando vastas extensiones de datos fuera de la jurisdicción tradicional de la organización. Las organizaciones pueden pensar que pueden ver todo, pero en realidad, les falta la imagen completa.

Después de todo, tiene poco sentido aplicar nuevas prácticas de gestión de riesgos si te faltan extensiones de tu red de IT o elementos enteros de tu pila tecnológica simplemente porque no sabes que están ahí.

Explorando el pensamiento 'dentro de la caja'

Desafortunadamente, la expansión de los datos empresariales no se limita en absoluto a la pila tecnológica propiedad y operada por la organización. La investigación de los activos de datos también debe incluir las soluciones de terceros. Según una investigación de Cyber Risk Alliance, la organización promedio utiliza 88 proveedores de TI externos, a menudo dependiendo completamente de sus soluciones. Pero estas soluciones son a menudo "cajas negras" que ofrecen poca o ninguna transparencia no solo sobre los datos que contienen, sino también sobre los métodos de resiliencia de datos utilizados para protegerlos.

Los proveedores externos a menudo son contratados con este propósito exacto, para descargar parte de las presiones que enfrentan las organizaciones al implementar sus soluciones. Pero esto suele conducir a un enfoque excesivo en el resultado de la solución, en lugar de la infraestructura real que la entrega. Las organizaciones a veces asumen que todo lo que necesitan cubrir es manejado por los proveedores, pero sin el establecimiento de un Modelo de Responsabilidad Compartida definido, bien podrían estar creando inadvertidamente brechas significativas en su resiliencia de datos.

¿Se queda corta la regulación?

A pesar de que se están introduciendo regulaciones en todo el mundo para tratar de abordar la resiliencia de los datos, una investigación de McKinsey sobre la resiliencia de los datos de grandes empresas ha destacado que muchas organizaciones aún se quedan cortas. El 30% de las organizaciones cree que son más resilientes que sus capacidades reales, y esta brecha de conocimiento se debe en gran parte a la falta de conciencia del alcance real de los activos de datos y los proveedores externos.

Si bien muchos habrán seguido de cerca las regulaciones, los terceros y esos rincones y recovecos ocultos de los activos de datos a menudo se dejan fuera de la ecuación, dejando brechas significativas en la resiliencia de los datos para arrancar. No es necesariamente que las regulaciones no sean lo suficientemente completas; es que las organizaciones simplemente no han investigado sus activos de datos o a terceros con tanto detalle antes. De nuevo, simplemente "no sabes lo que no sabes".

Abordarlo desde la base

Entonces, ¿qué hacer? En lugar de esperar a que un ciberdelincuente se aproveche de una de estas brechas, puntos ciegos o puertas traseras, las organizaciones necesitan encontrarlas y cerrarlas. Esto no será una tarea fácil, pero es vital para que las organizaciones aborden sus deficiencias en la resiliencia de los datos de manera efectiva. Esto debe tomar la forma de evaluaciones críticas no solo de las medidas de resiliencia de datos internas, sino también de las de los proveedores para exponer vulnerabilidades y dependencias. Los eslabones débiles en la cadena de suministro de terceros, los silos de datos ocultos y cualquier otra brecha deben ser identificados y abordados antes de que un ciberdelincuente pueda aprovecharlos.

No nos equivoquemos, es un trabajo grande y amplio que no se puede hacer solo. Evaluar y mejorar la resiliencia de los datos a esta escala requiere la colaboración no solo dentro del negocio, sino también con los proveedores externos. Como con cualquier cosa de este tamaño y complejidad, tener el marco adecuado a seguir hace toda la diferencia. Por ejemplo, el Modelo de Madurez de la Resiliencia de los Datos es un estándar de la industria neutral al proveedor que incluye una sólida autoevaluación y un marco para construir un plan para fortalecer la resiliencia con el tiempo. Siguiendo el enfoque multifuncional establecido por modelos como este, las organizaciones pueden construir un plan para mejorar la resiliencia de los datos, reuniendo a los equipos de TI, seguridad y cumplimiento para garantizar que todas las áreas de sus activos de datos y redes de terceros estén cubiertas.

Es de vital importancia que, una vez que se introduzcan estas nuevas medidas, las organizaciones sigan probando. Madurar la resiliencia de los datos de una organización no es un trabajo de una sola vez; es un ciclo continuo de aprendizaje y adaptación a medida que las amenazas evolucionan. Las pruebas regulares y exhaustivas pueden parecer una molestia, pero no serán nada en comparación con el impacto de un ataque real.

Como dicen, "cuando una puerta se cierra, otra se abre". Así que asegúrate de que no se dejen abiertas para que los ciberdelincuentes puedan entrar.

(*) Dave Russell: Vicepresidente de estrategia de productos en Veeam