En este podcast, analizamos el almacenamiento en la nube y cómo mantener el control desde una perspectiva de cumplimiento, con Mathieu Gorge, director ejecutivo de Vigitrust.
Hablamos de las dificultades que surgen a raíz de poder iniciar fácilmente instancias de almacenamiento en la nube. Lo más probable es que los clientes no puedan hacer un seguimiento de dónde están los datos, quién los posee, quién tiene acceso a ellos, cómo están protegidos y si cumplen con los requisitos. Ese riesgo se ve incrementado por los eventos geopolíticos actuales, como la invasión rusa de Ucrania y las sanciones y respuestas resultantes.
Gorge habla sobre cómo obtener el control de sus datos en el almacenamiento en la nube a través de medios como la clasificación de datos y el uso de marcos útiles de la industria.
Antony Adshead: ¿Qué amenazas para el cumplimiento legal y normativo plantea el almacenamiento de datos en la nube?
Garganta de Mathieu: Creo que el primer problema aquí es que tenemos cada vez más datos en la nube y cada vez menos en las instalaciones, y eso tiene sentido desde una perspectiva operativa y financiera.
Pero desde una perspectiva contractual, legal y de cumplimiento, plantea una serie de desafíos. ¿Dónde están los datos? ¿Quién es el propietario de los datos? ¿Cómo se respalda? ¿Está realmente respaldado? ¿Se almacena de manera legal y compatible? ¿Está guardado en el lugar correcto?
Sabemos en este momento con todos los riesgos geopolíticos que si tuviera datos en Rusia, con los activos occidentales siendo absorbidos por el gobierno, en realidad perdería esos datos, incluso si tiene una copia de seguridad, el gobierno ruso tendría una copia. Por lo tanto, estamos viendo más empresas haciendo ejercicios de simulación tratando de comprender dónde están los datos y qué harían si tuvieran que salir de un país.
El principal desafío es que debemos comprender cuántos proveedores de nube tiene, ¿puede confiar en ellos, tiene los contratos correctos con ellos? ¿Y realmente sabe dónde residen sus datos?
Desafortunadamente, la mayoría de las empresas luchan con eso. No necesariamente entienden su ecosistema. Es tan fácil iniciar un nuevo sistema en la nube en otro lugar, y es por eso que es tan popular. Pero el problema que surge de eso es que no necesariamente tiene el control de los datos que están en la nube, no sabe si está respaldado de la manera correcta, y desde una perspectiva de cumplimiento y protección de datos, eso se vuelve un poco de una pesadilla
Adshead: ¿Cuáles son las implicaciones de estas amenazas para la copia de seguridad y la protección de datos en particular?
Garganta: Las implicaciones son que puede perder algunos datos, es posible que no pueda recuperar algunos datos o acceder a algunos datos, y/o terceros que no están autorizados pueden acceder a los datos en lugar de usted y copiarlos.
Entonces, lo que debe tener en cuenta es que, según el lugar donde resida y el tipo de datos que tome, ya sean datos de tarjetas de crédito, información médica protegida o cualquier tipo de PII, tiene requisitos según la ley y varias reglamentaciones para proteger esos datos. Debe poder, por ejemplo, decir que cumple con PCI, HIPAA o GDPR.
El desafío con eso es que solo puede hacerlo si sabe dónde están sus datos y si los clasificó, los mapeó y especificó quién tiene acceso a ellos bajo qué condiciones.
Una de las cosas buenas de la nube es que está razonablemente bien supervisada por los reguladores y varias asociaciones. Entonces, por ejemplo, está ENISA, la Agencia Europea de Seguridad de las Redes y la Información, que es muy activa en proporcionar pautas de protección en la nube; tiene la Cloud Security Alliance, que es muy buena con las métricas de seguridad de la nube y un buen marco para comenzar a proteger sus datos en la nube. Todos los años, realizan un evento en RSA llamado Cloud Security Summit.
Además, tiene la CNMC del gobierno de los EE. UU., que es para cualquiera que maneje datos en la nube para el gobierno. Es un buen marco que le permite mapear su almacenamiento de datos, clasificar los datos y demostrar que tiene los niveles correctos de seguridad y cumplimiento.
En general, no falta la ayuda para administrar los datos en la nube y el cumplimiento. El desafío es realmente tratar de mapear los datos, porque no importa qué marco use o qué solución técnica use. Necesitas saber dónde están los datos. Hay tantos datos en la nube, y datos en la nube de los que no está al tanto, y eso está creando una brecha en su análisis de seguridad.
El consejo sería mapear todos sus proveedores, terceros y cuartos, y asegurarse de verificar dónde residen sus datos. Esa es realmente la clave.