El conocimiento basado en datos es cada vez más la base sobre la que se construyen las empresas exitosas. Dar a las personas adecuadas acceso a la información adecuada en el momento adecuado puede impulsar la productividad, optimizar las operaciones y mejorar la experiencia del cliente. Pero el éxito en este ámbito requiere primero que los datos se gestionen y protejan de forma eficaz. Investigaciones recientes revelan que Un 57% más de organizaciones califican la gestión de datos como una de sus iniciativas de mayor prioridad hoy en comparación con el año pasado.

En los últimos años, estos esfuerzos han adquirido mayor urgencia a medida que ha aumentado el riesgo de seguridad de la información. Para entender más, lo último de Verizon Informe de investigaciones de violación de datos (DBIR) es un gran lugar al que acudir.

¿Qué hay de nuevo para 2023?

El DBIR es una lectura larga y detallada, pero eso se debe a que es uno de los informes anuales más completos que existen sobre el estado del panorama de amenazas actual. La información de este año se basa en un análisis de 16,312 incidentes, de los cuales 5,199 (32%) fueron violaciones de datos confirmadas. Algunos de los principales hallazgos de este año son:

Predominan los ataques con motivación financiera de terceros malintencionados: Los actores externos están presentes en el 83% de las infracciones y las ganancias financieras representan el 95% de los casos. Esto se debe principalmente a la influencia de las bandas del crimen organizado, responsables de la mayoría de los ataques. Los agentes del Estado-nación son relativamente poco comunes; de hecho, menos comunes que la amenaza interna.

Las credenciales robadas son el principal punto de entrada para las infracciones: Casi la mitad (49%) de incumplimientos analizados involucrados inicios de sesión robados, mientras que el phishing estuvo presente en el 12% de los ataques y la explotación de vulnerabilidades en el 5%. 

Los empleados siguen siendo un riesgo grave: En tres cuartas partes (74%) de las infracciones, el elemento humano es un factor. Esto se evidencia en la gran cantidad de infracciones posibles gracias al robo de credenciales y al phishing. Pero también indica que el personal podría configurar mal los sistemas o enviar accidentalmente datos confidenciales a la persona equivocada. 

El compromiso de correo electrónico comercial (BEC) se duplica: BEC o "pretexto" no suele ser una amenaza directa a los datos empresariales, ya que el objetivo final suele ser engañar a un empleado para que transfiera grandes sumas de dinero a una cuenta controlada por un atacante. Pero es relevante para la discusión como una forma crítica de ingeniería social y un tipo de amenaza en la que los ataques más sofisticados pueden involucrar credenciales robadas y/o phishing primero para secuestrar cuentas de correo electrónico. BEC representa más del 50 % de los incidentes de ingeniería social (más que el phishing) y los casos se duplican en un año.

El ransomware sigue siendo una amenaza importante: El ransomware está presente en una cuarta parte (24%) de las infracciones. Esto se debe a que los ataques ahora utilizan técnicas de “doble extorsión” en las que se roban datos antes de cifrarlos para forzar el pago. Aunque la proporción de ransomware en infracciones prácticamente no ha cambiado con respecto al año pasado, la amenaza sigue siendo pronunciada para organizaciones de todos los tamaños y en todos los sectores verticales. Los costos medios resultantes de estos ataques se duplicaron con creces hasta alcanzar los 26,000 dólares, aunque es probable que la cifra real sea mucho mayor.  

Por qué la gobernanza de datos es fundamental

La conclusión: la historia de amenazas de alto nivel no ha cambiado mucho respecto al año pasado. Los actores de amenazas siguen siendo un grupo persistente, y los errores humanos, las credenciales y las vulnerabilidades de software siguen siendo algunas de las principales formas en que comprometen los datos. A medida que las organizaciones continúen redoblando sus esfuerzos por la transformación digital, las oportunidades de robar y/o cifrar datos solo aumentarán.   

Aquí es donde datos de gestión, y la subcategoría de gobernanza de datos, es cada vez más importante. ¿Por qué? Porque, entre otras cosas, se trata de lograr una coherencia políticas y procesos para asegurar gestionar los datos a lo largo de su ciclo de vida, dondequiera que se encuentren en la organización. Al hacerlo, es un componente crítico de cualquier estrategia de cumplimiento.

El director de seguridad global de ISACA, Chris Dimitriadis, le dice a ISMS.online que la gobernanza de datos construye efectivamente un “sistema de protección complejo alrededor de los datos almacenados”, lo que dificulta que los actores de amenazas se comprometan.

"La conclusión es que no se puede establecer la ciberseguridad en ecosistemas digitales en los que la calidad de los datos es baja, la ubicación de los datos es incierta, los datos no se clasifican según su criticidad o las copias de datos actuales no se mantienen para la recuperación", añade. "La gobernanza de datos aborda todos estos aspectos".

Según Chris Royles, CTO de campo de Cloudera EMEA, cada vez hay más una dimensión global en la gobernanza de muchas organizaciones.

"En los ultimos años, Regulaciones como GDPR y Schrems II han cambiado los datos. requisitos de gobernanza, soberanía y privacidad. Hoy en día, los líderes de datos deben garantizar que la gobernanza esté 'siempre activa y en todas partes'”, afirma a ISMS.online. 

“Esto significa contar con un conjunto de políticas de datos definidas globalmente para que las empresas puedan replicar fácilmente los estándares en todos sus entornos. Esto impulsará la coherencia, lo que reduce el riesgo, ahorra tiempo y limita la posibilidad de error humano”.

Las buenas iniciativas de gobernanza de datos también necesitan la participación de los altos ejecutivos, dice Dimitradis de ISACA. “El apoyo de la alta dirección es clave para definir políticas, procedimientos y metodologías de mejora, para proporcionar la financiación, los recursos y la formación necesarios y para identificar las necesidades y controles relacionados con los datos y la información”, explica.

"Medir periódicamente la madurez y la capacidad del programa de gobernanza de datos también es clave para el éxito, ya que permite a las empresas mejorar y reducir continuamente la incertidumbre en el ecosistema digital".

¿Qué deben contener los programas de gobernanza de datos?

No existe una solución única para la gobernanza de datos. Pero al observar el DBIR de este año, quedan claras algunas áreas de enfoque específicas desde la perspectiva de la ciberseguridad. Estos son los tres métodos más populares para que los piratas informáticos comprometan los datos empresariales y los controles recomendados por el Centro de Seguridad de Internet (CIS) a considerar.   

Intrusión en el sistema (incluido ransomware):

  1. Configure de forma segura los activos y el software empresarial.
  2. Implemente protección antimalware y de correo electrónico y navegador.
  3. Establecer y mantener procesos continuos de gestión de vulnerabilidades y recuperación de datos.
  4. Proteja las cuentas con estrictos controles de acceso.
  5. Ejecutar iniciativas de capacitación en habilidades y concientización sobre seguridad.

Ingeniería social:

  1. Proteger cuentas con controles de acceso y administración de cuentas (incluido el inventario de cuentas y el rápido desaprovisionamiento de usuarios).
  2. Ejecutar programas de concientización sobre seguridad con un enfoque en BEC.
  3. Establecer procesos para reportar y gestionar incidentes.

Ataques básicos a aplicaciones web: 

Centrar los esfuerzos en proteger las cuentas (es decir, mediante la gestión de control de acceso), requiriendo autenticación multifactor (MFA) para el acceso remoto a la red y las aplicaciones expuestas externamente. Mitigar la explotación de vulnerabilidades a través de una gestión continua de vulnerabilidades: incluyendo parches y remediación automatizados.

Para descubrir cómo ISMS.online puede ayudarle en sus iniciativas de gestión y gobierno de datos, hable con uno de nuestros expertos hoy.