ESTE BLOG SE BASA EN UN ARTÍCULO ESCRITO POR SIMON PAMPLIN, CTO, CERTES NETWORKS
En el panorama digital actual, las violaciones de datos se han convertido en una dura realidad para empresas de todos los tamaños. Con unos ciberdelincuentes cada día más sofisticados, ahora es cuestión de cuándo se producirá una filtración de datos, no de si ocurrirá. Esto hace que sea aún más importante que las empresas y sus proveedores de servicios gestionados (MSP) comprendan claramente sus respectivas responsabilidades en materia de ciberseguridad, sobre todo cuando se trata de soportar el peso financiero.
Sin embargo, según una investigación reciente, tanto las empresas como los MSP se muestran alarmantemente inseguros sobre sus obligaciones legales y financieras en caso de violación de datos. El lenguaje de los contratos suele ser ambiguo, lo que da lugar a disputas legales y expone a ambas partes a riesgos significativos. Al final, cuando se produce una violación de datos y queda expuesta información sensible, ninguna de las partes sale ganando.
Como subraya Simon Pamplin, Director Técnico de Certes Networks, echar la culpa a los demás no es la solución. En su lugar, la máxima prioridad debe ser la protección de los propios datos para garantizar que, aunque un ciberatacante consiga traspasar las defensas, no haya nada que ver ni nada que ganar. Esto significa adoptar un enfoque proactivo para proteger los datos confidenciales, incluida la aplicación de un cifrado fuerte, controles de acceso y otras medidas de seguridad avanzadas que pueden mitigar el impacto de una posible violación de datos.
En última instancia, la clave para el éxito de la ciberseguridad es una comunicación y colaboración claras entre las empresas y sus MSP. Trabajando juntos para establecer expectativas y responsabilidades claras, así como aplicando medidas de seguridad sólidas, las organizaciones pueden reducir el riesgo de violación de datos y minimizar el impacto en caso de que se produzca.
Carga financiera
La carga financiera de una violación de datos puede ser significativa, no sólo en términos de costes financieros directos, sino también por el daño potencial a la reputación de una empresa. Por desgracia, investigaciones recientes sugieren que muchas empresas no son plenamente conscientes de sus obligaciones legales y financieras en lo que respecta a las violaciones de la ciberseguridad.
En una encuesta realizada por Sapio Research en nombre de Certes Networks, se descubrió que un número significativo de empresas están simplemente externalizando sus responsabilidades de ciberseguridad a proveedores de servicios de TI (ITSP) o proveedores de servicios gestionados (MSP). En caso de violación de datos, estas empresas esperan que su ITSP o MSP asuma la mayor parte del coste financiero.
Según la encuesta, el 48% de las empresas que emplean organizaciones externas para ofrecer políticas de seguridad esperan que su ITSP cubra los costes en caso de violación de datos. Sorprendentemente, el 73% de los propios ITSP se consideran responsables del pago de multas y daños y creen que deberían pagar el 51% de los costes.
Esta ambigüedad y falta de claridad en torno a las responsabilidades financieras y las obligaciones legales es motivo de gran preocupación. En lugar de culpar a los proveedores de servicios de Internet y a los proveedores de servicios gestionados, las empresas deberían dar prioridad a la protección de sus datos confidenciales para evitar que se produzcan infracciones.
Como subraya Simon, hay que centrarse en aplicar medidas de seguridad sólidas para garantizar que, aunque un atacante consiga penetrar en el sistema, no haya nada que ver ni nada que ganar. Esto no sólo protege los datos sensibles de la empresa, sino que también ayuda a minimizar el impacto financiero de una posible violación.
En resumen, las empresas no pueden permitirse externalizar completamente sus responsabilidades de ciberseguridad a los ITSP y MSP. Es importante que las empresas comprendan sus obligaciones legales y financieras y tomen medidas proactivas para proteger sus datos sensibles con el fin de minimizar el impacto financiero de cualquier posible violación de datos.
La cuestión de la responsabilidad por la violación de datos es un campo de minas jurídico y normativo. Muchas empresas confían en que los proveedores de servicios informáticos (ITSP) o los proveedores de servicios gestionados (MSP) asuman la responsabilidad de los costes financieros asociados a las violaciones de datos. Sin embargo, investigaciones recientes han demostrado que existe una falta de claridad en torno a las obligaciones de ambas partes.
El problema se agrava por el hecho de que los altos directivos que son personalmente responsables del cumplimiento de la normativa de protección de la información no pueden abdicar de sus responsabilidades en terceros proveedores de servicios. Esto plantea la cuestión de si tales acuerdos pueden resistir el escrutinio regulador.
Para evitar dificultades legales y financieras, es importante que las empresas comprendan claramente sus responsabilidades y colaboren estrechamente con sus ITSP o MSP para garantizar que se aplican las medidas de seguridad adecuadas. En última instancia, la responsabilidad de proteger los datos sensibles recae en la empresa, y es importante adoptar un papel activo en la salvaguarda de esta información.
Es ingenuo esperar que un experto en infraestructuras de seguridad de redes comprenda todas las implicaciones de las pérdidas financieras y de reputación asociadas a una violación de datos. No es de su competencia. Son responsables del rendimiento de la infraestructura, no del valor o la garantía de los datos corporativos.
Simon Pamplin, Director Técnico, Certes Networks
Percepción errónea endémica
Confiar en un MSP o ITSP puede parecer una buena forma de apoyar el enfoque de confianza cero para separar la responsabilidad de las políticas de la administración del sistema. Sin embargo, cualquier postura de seguridad debe definirse desde un punto de vista empresarial para reflejar la sensibilidad de conjuntos de datos específicos. Al hacer recaer la responsabilidad en el MSP, toda la postura de seguridad es definida y aplicada por un equipo de seguridad de red, lo que puede crear una clara falta de separación de funciones.
Este enfoque puede hacer que los acuerdos contractuales carezcan de sentido si un regulador se muestra severo con la falta de separación de funciones. Además, el punto de vista legal es que el propietario de los datos es responsable de cualquier violación de datos. Por lo tanto, cualquier empresa que crea erróneamente que el MSP o ITSP pagará la factura se llevará una desagradable sorpresa.
Esta percepción indica que demasiadas empresas no están considerando las verdaderas implicaciones de la seguridad de los datos al nivel adecuado. Los responsables de protección de datos y cumplimiento, así como los altos directivos, pueden ser personalmente responsables de proteger los datos sensibles de la empresa, los clientes y los socios implicados en estas decisiones. Por lo tanto, es esencial considerar si pedir al equipo de seguridad de la red que designe a un MSP para proporcionar una SD-WAN es un enfoque adecuado para la protección y el cumplimiento de los datos.
Exigir salvaguardias
La responsabilidad de proteger los datos sensibles no puede recaer únicamente sobre los hombros de un experto en infraestructuras de seguridad de redes. Aunque son responsables del rendimiento de la infraestructura, no lo son del valor o la garantía de los datos corporativos. Es importante que las empresas se apropien de sus datos y exijan a su MSP o ITSP un nivel adicional de protección de los mismos. En lugar de confiar únicamente en la infraestructura de red, las empresas deben buscar un MSP que ofrezca medidas de seguridad específicamente diseñadas para proteger sus datos. De este modo, los directivos de las empresas pueden obtener la garantía que necesitan de que sus datos están seguros y cumplen la normativa.
En lugar de buscar culpables, la prioridad debe ser proteger los datos para garantizar que, incluso cuando un atacante se cuele, no haya nada que ver ni nada que ganar.
Simon Pamplin, Director Técnico, Certes Networks
El cifrado de capa 4 basado en políticas es una solución eficaz para proteger los datos en tránsito. Al cifrar sólo la carga útil de los datos y dejar los datos de cabecera en claro, los servicios de red y las aplicaciones se ven mínimamente perturbados. Además, este planteamiento ofrece una separación clara entre el establecimiento de políticas y la gestión de sistemas, lo que permite que las políticas de cifrado se basen en la sensibilidad de los datos corporativos. Esto no sólo beneficia a los responsables de datos, sino también a los equipos de seguridad de la red, ya que pueden mantener el rendimiento de la infraestructura al tiempo que garantizan la protección de los datos sensibles. En general, la adopción del cifrado de Capa 4 basado en políticas es una solución beneficiosa para ambas partes.
Conclusión
La reciente investigación llevada a cabo por Sapio Research para Certes Networks pone de manifiesto una gran preocupación tanto para las empresas como para los ITSP/MSP en términos de quién asume el coste financiero y la responsabilidad legal en caso de violación de datos. Se trata de una cuestión importante, ya que ambas partes pueden sufrir consecuencias empresariales a largo plazo que podrían ser devastadoras.
Para evitar estos riesgos, las empresas deben adoptar un enfoque diferente y exigir una capa adicional de protección de datos. Al adoptar la capa 4, el cifrado basado en políticas garantiza que la carga útil de los datos esté protegida durante todo su trayecto, cifrando únicamente los datos de la carga útil y dejando los datos de la cabecera en claro. Este planteamiento minimiza la interrupción de los servicios o aplicaciones de red y permite una separación clara entre el establecimiento de políticas y la gestión de sistemas.
Las empresas deben asumir la propiedad de sus datos y exigir que el MSP o ITSP proporcione otro nivel de protección de datos. De este modo, la empresa ya no dependerá de terceros para salvaguardar sus datos, sino que asumirá la propiedad. Este enfoque no sólo eliminará el problema de la culpa o el coste, sino que también salvaguardará los datos a través de cualquier infraestructura que el MSP o ITSP esté proporcionando.
Haga clic aquí
para leer cómo la segmentación criptográfica de Capa 4 y la garantía de datos protegerán sus datos y, en última instancia, su negocio.