La mayoría de los académicos y los encargados de formular políticas dicen que el ciberespacio favorece la ilegalidad, mientras que una minoría de académicos no está de acuerdo. Las declaraciones en profundidad sobre el equilibrio entre un delito en defensa y un delito en el ciberespacio son engañosas porque solo se puede evaluar un equilibrio correcto con respecto a habilidades y tecnologías organizativas específicas.
Con demasiada frecuencia hablamos de equilibrio en consideración de los costos: tendemos a evaluar el equilibrio que un caso u otro es capaz de generar (donde "equilibrio" significa el valor menos los costos de las operaciones ofensivas y el valor menos el costos de operaciones defensivas). Los costos de las operaciones de TI se calculan, en su mayor parte, en función de las habilidades organizativas necesarias para crear y administrar eficientemente tecnología de información compleja.
Si observamos el escenario actual, el éxito de una actividad ofensiva se deriva, principalmente, del mal manejo defensivo y de los objetivos relativamente más simples que tiene una actividad ofensiva. De hecho, hablamos de la "asimetría" del fenómeno cibernético debido a la extraordinaria diferencia que existe entre el atacante y el defensor. Obviamente este no es siempre el caso.
Por ejemplo, un análisis empírico muestra que los ciberataques basados en Stuxnet Las estructuras nucleares iraníes, muy probablemente, le cuestan al atacante mucho más que la defensa. Sin embargo, los beneficios percibidos tanto por el atacante como, por otro lado, los daños percibidos por el defensor, fueron probablemente dos órdenes de magnitud más altos que los costos realmente incurridos, lo que hace que sea poco probable que los tomadores de decisiones se concentren en los costos.
En este artículo, sin embargo, no quiero concentrarme en los costos que utilicé como sombrero introductorio, simplemente para tratar de hacer que el tema sea más "atractivo" y, quizás, más asequible para todos.
En lo que quiero centrarme es en el hecho de tratar de razonar de acuerdo con diferentes esquemas en los que la defensa cibernética se puede usar de manera inteligente para atribuir el valor correcto a los objetos más preciados de cada organización, después de las personas: datos e información.
En los últimos años, las tecnologías de defensa cibernética han evolucionado rápidamente para ayudar a las empresas a proteger sus redes, restringir el acceso y evitar la pérdida de datos. Y el mercado ha sido testigo de una escalada importante desde este punto de vista.
¿Qué pasa si intentamos pensar de manera diferente ahora? ¿Qué pasaría si empezáramos a aprovechar todos los principios utilizados en nuestras estrategias defensivas de seguridad de datos para adoptar un enfoque más proactivo? Básicamente, ¿qué pasaría si nos dispusiéramos a pensar como piensan los piratas informáticos, no solo para contrarrestarlos, sino también para atribuir el valor correcto "a los activos a proteger"?
Lo que quiero decir es que los datos y la información tienen un valor que, si se pone de manifiesto a través de las herramientas y políticas de gestión de la información y el conocimiento, puede ayudar a los técnicos a defender de manera diferente "activos" de diferente valor y puede ayudar a los CIO y CISO a pedir los recursos necesarios en proporción al "valor" a proteger.
Algunas herramientas y tecnologías de seguridad de datos pueden proporcionar una mejor visibilidad de la actividad diaria y pueden ayudarnos a descubrir el verdadero valor de todos los datos que hemos protegido. De hecho, adoptar un enfoque de este tipo puede llevar a las empresas a una mayor conciencia de los datos que tienen en sus manos y, por qué no, también a una mayor eficiencia, nuevas ideas y crecimiento.
Aprendizaje automático e inteligencia artificial
Las organizaciones han comenzado a adoptar soluciones de aprendizaje automático e inteligencia artificial (IA) en análisis de datos y gestión de datos desde hace algún tiempo. ¿Por qué no aplicar estas tecnologías en nuestro enfoque de seguridad de datos para extraer un valor comercial similar?
Muchas herramientas de protección de datos, utilizadas de forma defensiva, le permiten identificar y catalogar información en sistemas de red para comprender mejor los diferentes niveles de sensibilidad de esos datos. El aprendizaje automático y los metadatos aplicados durante este proceso le permiten llevar esta comprensión a un nivel más profundo al crear un contexto alrededor de los datos que permite a las organizaciones establecer políticas de seguridad más personalizadas para administrar la información.
Estas prácticas de gestión de la información, en general, todavía caen dentro del ámbito de la ciberdefensa: están reaccionando para proteger los datos contra el ciberdelito. Sin embargo, las tecnologías de protección de datos que utilizan metadatos le permiten etiquetar datos con varios detalles y asignar categorías para extraer su verdadero valor. Conocer el contexto más profundo en torno a los datos permite el uso de estrategias y herramientas de protección de datos diferenciadas para permitir que el negocio vaya mucho más lejos de lo habitual.
A medida que las tecnologías de protección de datos revelan el contexto más amplio de los datos, ese contexto ofrece a los profesionales de la seguridad de datos una nueva forma de hablar con los líderes ejecutivos de la organización. En resumen, pueden mostrar qué tan valioso es un dato específico, así como determinar qué datos son verdaderamente críticos (y deben tener una protección más estricta) y qué datos son adecuados para el consumo público (y no necesitan protección avanzada).
Medición, monetización y gestión de datos.
¿Cuántos hablan de datos como "petróleo nuevo"? Después de todo, esta declaración se ha convertido en un eslogan. Pero, ¿cómo podemos realmente cuantificar el valor de esta nueva mercancía? Si podemos clasificar nuestros datos utilizando metadatos y comenzar a comprender el contexto que los rodea, el valor comenzará a surgir.
Cuando producimos un documento, podemos comenzar haciéndonos preguntas diferentes:
- ¿Es un documento confidencial o es de libre acceso?
- ¿Fue etiquetado por alguien en I + D?
- ¿Es un documento confidencial que ha sido etiquetado por alguien en finanzas?
- ¿Es información financiera de naturaleza patrimonial o simplemente representa un estado de flujo de efectivo?
- ¿Cuánto tiempo se debe guardar?
Y así sucesivamente ...
Suponga que puede identificar 10.000 documentos que contienen datos de I + D en su sistema. Si conoce el contexto en torno a esos documentos, puede comenzar a comprender cuánto vale cada uno de esos documentos o cuál es el riesgo financiero para la empresa en caso de pérdida o robo.
Algunos archivos y documentos contienen información personal o información de salud personal (PHI). Los riesgos financieros asociados con este tipo de datos tienen más que ver con las multas por incumplimiento, la posible responsabilidad monetaria para clientes y empleados y los costos de superar el daño inherente a la reputación de la marca. Otros documentos contienen datos que podrían estimular la innovación y el crecimiento del negocio y el riesgo financiero puede calcularse en función de las oportunidades de ganancias potenciales.
A través de etiquetas de metadatos en otros tipos de archivos, correos electrónicos y documentos, puede obtener más información sobre clientes o ciclos de ventas. Por ejemplo, si una empresa tiene un buen trimestre, puede mirar hacia atrás para averiguar cuántas veces ha aparecido la palabra "cita" o "RFP" en correos electrónicos y documentos en los últimos tres meses y comenzar a predecir los resultados de el cuarto siguiente
Según la investigación de Gartner, dentro del 2022, el 90% de las estrategias corporativas mencionará explícitamente la información como un activo corporativo crítico. Actualmente, sin embargo, Gartner dice: "... la mayoría de la información y los líderes empresariales carecen de la información y las herramientas para monetizar la información ... porque el valor de la información en sí aún no se reconoce en gran medida, incluso si el valor de otros activos intangibles, como derechos de autor, marcas registradas y patentes, se miden y se informan ".
La monetización de la información es parte de la tendencia más amplia haciainfonomics, un término acuñado por Gartner para describir la disciplina de atribución de importancia económica a la información, a pesar de los límites de las normas contables actuales. También según Gartner, Infonomics también identifica "los costos tangibles e intangibles de administrar, almacenar, analizar y proteger los datos".
Las empresas que miden el valor de sus datos pueden realizar inversiones más inteligentes en iniciativas relacionadas con los datos. Al monetizar los datos, las organizaciones pueden crear fuentes de ingresos adicionales, introducir una nueva línea de negocios, lograr eficiencias en las prácticas comerciales diarias y más.
Una estrategia de protección de datos que extrae valor de forma proactiva de los datos protegidos coloca a TI en una nueva posición de consultoría con liderazgo ejecutivo. Los parámetros cambian drásticamente: en lugar de simplemente decir "Tenemos muchos datos confidenciales y debemos protegerlos.", puede dirigirse a los líderes corporativos y decir"¡Hey! Tenemos alrededor de mil millones de dólares de datos y debemos administrarlos adecuadamente, mejorarlos y protegerlos, ya que probablemente no lo estamos haciendo.."
No podemos hacerlo solos
Extraer valor no es algo que los humanos puedan hacer por sí mismos con un alto grado de precisión, y cuando se trata de seguridad de datos, la precisión es clave, independientemente de si está adoptando un enfoque defensivo u ofensivo. Si va a proporcionar un nivel de profundidad alrededor de sus datos para protegerlos adecuadamente o para determinar su valor, debe ser específico.
La capacitación y recalificación de algoritmos de aprendizaje automático para reconocer las categorías de datos personalizados, la precisión y la profundidad del contexto en torno a la información se expanden exponencialmente. Con el tiempo, los usuarios se acostumbrarán a etiquetar datos con detalles cada vez más específicos para explicar el contexto; lo que aumentará el valor más allá de la medida. Es el ejemplo perfecto de seres humanos y tecnologías que trabajan juntos de manera inteligente.
Los comportamientos de gestión de la información no solo pueden volverse más específicos para una empresa, protegiendo los datos en los niveles apropiados y cumpliendo los requisitos de cumplimiento de seguridad, sino que también puede comenzar a comprender los datos, o más bien la información el conocimiento, como un activo real de la empresa con la posibilidad de llevar el negocio a un mayor nivel de eficiencia y éxito.
Foto: web
