No se puede negar que las soluciones que optimizan la captura de datos son la tónica general en el mundo empresarial que estamos viviendo actualmente. Las Plataformas como Servicio (PaaS) que manejan muchos aspectos de los datos orientados al cliente de una empresa han revolucionado la forma en la que las grandes empresas interactúan con sus clientes, generando una mayor personalización, un mejor servicio e interacciones de mayor valor.
PaaS sí, pero controladas
Esta flexibilidad de las soluciones de PaaS como Salesforce ha permitido una increíble experiencia de cliente de 360 grados y un tremendo crecimiento en valor.
También ha permitido a los grandes desarrolladores ciudadanos tomar el gobierno en sus propias manos, a menudo sin la comprensión adecuada o controles necesarios para minimizar la amenaza de malos actoes, internos o externos de la empresa.
La mayoría de las soluciones de PaaS están equipadas con un marco de seguridad proactivo para permitir el éxito, pero muchos CISO, CIO y líderes de IT carecen de la plena comprensión de la responsabilidad compartida requerida para garantizar el cumplimiento continuo de estos estándares.
Hay algunos escenarios comunes de los que todos hemos oído hablar, como el representante farmacéutico que lleva su libro de negocios con él a un competidor. Y luego hay escenarios más sorprendentes como las organizaciones de atención médica que, sin saberlo, exponen información de la salud protegida a todos us representantes de servicio al cliente, o las compañías de administración de patrimonio cuyos pasantes tienen acceso a todos los números de la Seguridad Social de sus clientes.
Estas son vulnerabilidades creadas, sobre todo involuntariamente, por administradores y desarrolladores que intentan apoyar al negocio lo mejor que saben. También se pueden prevenir con el marco de gobernanza adecuado y los controles internos para limitar el acceso.
Las capacidades de seguridad sólidas que ofrecen Paas a menudo se comparan y se «encienden», pero en realidad no hacen nada para proporcionar información sobre los riesgos o evitar las acciones de los malos actores. Al igual que con muchas capacidades de seguridad, las empresas, desafortunadamente, compran y «activan» estas características premium sin comprender cuál es su responsabilidad en realidad ni cómo crear el modelo de gobierno adecuado basado en amenazas reales y no en quimeras.
¿Por qué las Paas pueden ser en sí una vulnerabilidad?
Las plataformas como servicio ofrecen capacidades de seguridad tremendas pero pueden implementarse de manera insegura cuando el gobierno de datos es una ocurrencia tardía. La tremenda flexibilidad para respaldar la línea de negocio tiende a ser el motor, con la gobernanza y el cumplimiento relegados a una lucha de último minuto.
Las vulnerabilidades ocurren cuando las personas equivocadas, o quizás peor, todos dentro de una organización, reciben acceso sin restricciones a los datos alojados dentro de una plataforma. otorgar acceso administrativo a todo el sistema a cualquier persona en la nómina es una receta para el desastre. Una primera solución para corregir esto es aprender exactamente qué datos viven en el PaaS de nuestra empresa y establecer un plan de seguridad para todos ellos, que sea claro y objetivo.
Algunas ideas para lograr una seguridad adecuada
Va a sonar a cliché, pero pensar como un hacker puede ayudar a reforzar la seguridad de nuestra plataforma. Encontrar los agujeros y grietas y trabajar para cerrarlos. Una vez que esto se haya logrado, evaluar continuamente los riesgos y realizar la mitigación son los siguientes pasos. Mantenerse actualizado en nuestra postura de seguridad requiere un esfuerzo constante, aunque ese esfuerzo va a repercutir en una mayor seguridad en nuestra empresa.
- Debemos determinar a quién le importa dentro de la organización, quién tiene experiencia, conocimiento y responsabilidad respecto a los datos de PaaS.
- Comenzar. Otra obviedad, pero que no puede pasar desapercibido. Hay que empezar a usar las herramientas que tengamos disponibles y empezar con un inventario y clasificación de estos datos, por mucho miedo que de.
- Preguntar quién ve qué: Uniendo las dos ideas anteriores, hay que determinar quién de todos los del primer punto pueden ver lo que vamos a inventariar en el segungo y por qué pueden verlo.
Una vez que hayamos comenzado con estos pasos básicos, tenemos un inicio para crear una estrategia práctica para llegar a donde queremos. La seguridad es casi tan importante como nuestra empresa en sí misma.