Las respuestas A + para mantener la seguridad de los datos …



Muchos líderes de seguridad ven las regulaciones y los procesos internos diseñados para administrar y proteger los datos como trámites burocráticos que obstaculizan la innovación. Nada mas lejos de la verdad.

La protección de datos valiosos nunca ha sido una propuesta sencilla. Sin embargo, a medida que los límites de los datos se han difuminado y el aprendizaje automático (ML) y otras formas de inteligencia artificial (IA) han echado raíces, la capacidad de administrar y proteger los datos se ha vuelto exponencialmente más complicada para los equipos de seguridad.

«Ya no hay una foundation de datos central para bloquear», dice Eliano Marques, vicepresidente ejecutivo de datos e inteligencia artificial de la firma de seguridad de datos Protegrity.

Sin duda, el World-wide-web de las cosas (IoT), las interfaces de programación de aplicaciones (API), el análisis basado en la nube, la IA, el aprendizaje automático, la informática móvil y otras herramientas continúan remodelando radicalmente el panorama de los datos al alterar los requisitos informáticos y de seguridad. No solo están creciendo los volúmenes de datos, la expansión de datos es cada vez más común. En muchos casos, los algoritmos de entrenamiento se extienden a través de múltiples conjuntos de datos que residen en diferentes nubes y en diferentes empresas. Existe una necesidad creciente de combinar y adaptar datos de forma dinámica.

A 2020 Informe de IDC proyecta que existirán 125 billones de TB de datos para 2025. Y según PwC&#39s «Encuesta al CEO, «El 61% de los directores ejecutivos planea digitalizar aún más las operaciones comerciales centrales en 2021.

«Vemos que los acuerdos y las alianzas se intensifican durante los próximos cuatro años a medida que las empresas compiten por controlar los datos a lo largo de su cadena de valor», afirma Jay Cline, líder de privacidad de EE. UU. Y director de PwC US.

Más allá de la foundation de datos
Un creciente deseo de computación en la nube y en el borde tiene profundas ramificaciones. Por un lado, las organizaciones deben adaptarse a regulaciones de datos cada vez más estrictas, como el Reglamento Basic de Protección de Datos (GDPR) de la UE, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Responsabilidad y Portabilidad de Seguros de Salud de EE. UU. (HIPAA). Sin embargo, también es necesario desbloquear el valor complete de los datos dentro de las cadenas de suministro y las asociaciones comerciales, sin revelar secretos comerciales e información de identificación personal (PII).

«La inteligencia artificial y el aprendizaje automático presentan requisitos de ciberseguridad y computación completamente nuevos y diferentes que están estrechamente vinculados», explica Marques. «Es imposible ajustar constantemente la protección de datos para diferentes requisitos de localización de datos y marcos de intercambio de datos. No puede tener equipos que evalúen cada situación individualmente y utilicen una variedad de herramientas y tecnologías».

Las organizaciones deben centrarse en «múltiples riesgos de privacidad y seguridad de los datos a medida que los datos fluyen a través de dispositivos, sistemas y nubes», dice Rehan Jahil, director ejecutivo de la firma de ciberseguridad Securti. Esto incluye riesgos internos, riesgos externos y acceso de terceros a datos confidenciales.

Un problema particularmente molesto, advierte Jahil, es que las organizaciones a menudo capturan un Evaluación de impacto de privacidad (PIA) que no es más que una «instantánea en el tiempo». Este método de identificar y administrar los riesgos de privacidad puede funcionar bien dentro de los modelos tradicionales de desarrollo en cascada, pero «los procesos de desarrollo de computer software modernos y ágiles implican actualizaciones de código frecuentes, lo que puede hacer que estos PIA sean obsoletos en el momento en que se escriben», dice.

Como resultado, se necesita un enfoque más automatizado y basado en API para incorporar la privacidad en el proceso de desarrollo, agrega Jahil.

Para aumentar la complejidad, se debe garantizar que la inteligencia artificial y los datos se utilicen de manera ética, señala Marques. Dos categorías clave comprenden la IA segura, dice: IA responsable e IA confidencial. La IA responsable se centra en las regulaciones, la privacidad, la confianza y la ética relacionadas con la toma de decisiones utilizando modelos de IA y ML. La IA confidencial implica cómo las empresas comparten datos con otros para abordar un problema comercial común.

Por ejemplo, es posible que las aerolíneas deseen agrupar datos para comprender mejor los problemas de mantenimiento, reparación y fallas de piezas, pero evitar exponer datos de propiedad a otras compañías. Sin las protecciones establecidas, otras personas pueden ver datos confidenciales. Los mismos tipos de problemas son comunes entre las empresas de salud y las empresas de servicios financieros. A pesar del deseo de agregar más datos a un grupo, también existe una gran preocupación sobre cómo, dónde y cuándo se utilizan los datos.

De hecho, cumplir con las regulaciones es simplemente un punto de partida para un marco de gestión de datos más sólido y centrado en lo electronic, explica Jahil. La seguridad y la privacidad deben extenderse a un ecosistema de datos y llegar a los clientes y su PII. Por ejemplo, la CCPA ha ampliado el concepto de PII para incluir cualquier información que pueda ayudar a identificar al individuo, como el color de cabello o las preferencias personales.

Esquemas de protección
Desafortunadamente, muchos líderes de TI y seguridad, y sus equipos, ven las regulaciones y los procesos internos diseñados para administrar y proteger los datos como una burocracia adicional que ralentiza los procesos y la innovación. Nada podría estar más lejos de la verdad, dice Marques.

«Cuando las organizaciones tienen las herramientas, las tecnologías y la automatización adecuadas, es posible acelerar los proyectos y abordar las brechas», dice. «No es necesario discutir y verificar cada proyecto».

Las capacidades de descubrimiento de datos dinámicos para datos estructurados y no estructurados son primordiales, dice Cline de PwC.

«Esto se convertirá en la norma en todos los sectores en el futuro», dice. Sin embargo, el proceso no puede detenerse ahí. «La clasificación de datos se está volviendo demasiado compleja para ser un ejercicio (de categorización) debido a la forma cada vez más diversa en que las regulaciones de privacidad en todo el mundo clasifican los datos», agrega.

Esto apunta a la necesidad de herramientas y tecnologías específicas de protección de datos. Estos incluyen la seudonimización de datos y tokenización tecnologías que reemplazan una o más entradas de datos reales o un registro completo con identificadores intercambio de datos anonimizado y no reversible que elimina los datos confidenciales o PII herramientas de protección en la nube y marcos de criptografía emergentes como el cifrado homomórfico, que hace posible procesar y analizar datos cifrados sin verlos realmente.

Otro recurso emergente son los lenguajes de procesamiento de datos como antorcha y Scikit-Discover, que incorpora protecciones de seguridad y privacidad a nivel de código. En algunos casos, también es posible utilizar técnicas formales de verificación de software. Estos métodos se basan en pruebas matemáticas para producir componentes y aplicaciones libres de errores de codificación que pueden introducir varias vulnerabilidades, incluidos errores, hacks y violaciones de la privacidad. Esta técnica ahora la utilizan Amazon, Microsoft y Google para componentes de nicho.

Jahil dice que el objetivo remaining es «privacidad por diseño«, junto con flujos de trabajo automatizados que integran inteligencia de datos en tiempo actual con información granular sobre cómo se utilizan y protegen los datos personales dentro de una organización y entre socios comerciales. Con informes sólidos e instantáneas, este enfoque permite que una empresa mapee con precisión los datos y utilice un enfoque más automatizado, impulsado por API, para incorporar la seguridad y la privacidad de los datos en el proceso de desarrollo y gestión de datos.

Las organizaciones que construyen el marco de seguridad de inteligencia artificial adecuado, que generalmente incluye la reorganización de las funciones de gobernanza de datos, inteligencia artificial y privacidad bajo un solo líder o autoridad empresarial, están bien posicionadas para desbloquear el valor total de los datos, mientras los protegen y aumentan la privacidad de los datos, según a Cline.

«Dentro de este tipo de modelo, la estrategia de privacidad habilita las estrategias de datos e inteligencia synthetic, que a su vez respaldan la estrategia comercial standard», dice.

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios net. Es autor de los libros «Net de las cosas» y «Realidad virtual» (MIT Push). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic