En este artículo, consideraré el panorama de seguridad de datos del próximo año con un enfoque en los dos temas clave que debe tener cualquier organización en su planificación. Por supuesto, la forma en que se desarrolle la pandemia tendrá una gran influencia en cuestiones tácticas que van desde el presupuesto hasta la mano de obra y las prioridades del proyecto, pero estas tendencias estratégicas a largo plazo afectarán a las organizaciones de TI mucho más allá de 2021.
Bring Your Own SaaS
La pandemia ha logrado que la autoridad para cada decisión tecnológica relacionada con la productividad se haya movido inexorablemente desde los profesionales de TI a los usuarios y/o a líneas de negocios más cercanos a esas decisiones. La primera fase de esta tendencia, “Bring Your Own Device” (BYOD), esencialmente ha terminado. Es casi imposible imaginar un regreso a los dispositivos móviles controlados completamente por la empresa sin imaginar también una revuelta de empleados a gran escala.
El año pasado, las prácticas del trabajo desde casa apenas eran una “tendencia”. No hace falta decir que en 2020 esta tendencia se amplió exponencialmente: las aplicaciones de productividad y almacenamiento en la nube maximizan la productividad en línea al facilitar la colaboración desde cualquier lugar.
Pero si bien este crecimiento puede ser liberador para el usuario, las ramificaciones de seguridad de los datos son difíciles de controlar. La tendencia BYOD continuará ya que los equipos de la línea de negocios reclamarán la autoridad para elegir soluciones como servicio sin la participación de TI. Los servicios en línea ahora son tan funcionales como sus predecesores locales on-premise, son más fáciles de proteger y más baratos de adquirir. Llámelo “traiga su propio SaaS” si lo desea, pero puede esperar, por ejemplo, que el departamento de contabilidad elija (y tal vez implemente) la solución de facturación en línea que le guste sin mucha consulta con el equipo de TI.
La privacidad de los datos va en direcciones inesperadas
Después de unos años de relativa previsibilidad, la privacidad de los datos promete volverse más “interesante” en 2021. Los regímenes regulatorios GDPR (regulación) y CCPA (ley) marcaron hitos en 2020.
El GDPR ha tenido un nivel récord de multas por un total de 220 millones de euros. La aplicación de la CCPA de California se inició el 1 de julio y los votantes de ese estado aprobaron restricciones de privacidad adicionales a través de una iniciativa electoral de noviembre (la Ley de Derechos de Privacidad de California o CRPA).
La CRPA amplía y modifica la CCPA, con nuevos mandatos que entrarán en vigor a fines de 2022. Aquí es donde las cosas se van a poner interesantes. De manera optimista, las vacunas COVID-19 eficaces facilitarán la capacidad para el trabajo en persona a mediados de año. Pero es igualmente probable que los retrasos en la distribución, la renuencia a vacunar y el estrés persistente en el sistema de salud extiendan las prácticas de trabajo desde el hogar para muchos hasta finales de 2021 (o 2022).
De cualquier manera, las organizaciones enfrentarán obligaciones y tentaciones de recopilar más datos que nunca sobre sus empleados, sobre su estado de vacunación, situación de salud, hábitos de trabajo, incluso sus patrones de interacción social.
Hoy en día, la mayoría de los profesionales se centran en los riesgos de los agentes de amenazas externos. Pero, en octubre pasado, la autoridad de GDPR mostró que están igualmente preocupados por los datos de recursos humanos cuando castigaron a H&M con una multa de 41 millones de dólares por vigilancia ilegal de empleados.
Las regulaciones que rigen la gestión de datos de los empleados son actualmente más indulgentes en los EE.UU. La CCPA, por ejemplo, incluye una llamada excepción de recursos humanos (que exime de la regulación a la información interna de los empleados) que expirará a fines de 2023. Pero independientemente de la fecha de entrada en funcionamiento, las protecciones de privacidad para los datos de los empleados están claramente en la visión de las regulaciones vigentes.
Respuesta estratégica
Como en 2020, tampoco hay forma de predecir cada eventualidad del 2021. Pero podemos pronosticar al menos dos tendencias clave: (I) los usuarios finales y las partes interesadas del negocio harán valer el derecho a elegir y utilizar la tecnología como mejor les parezca y el personal de TI deberá encontrar formas de respaldar la seguridad, incluso con ausencia de controles; (II) la privacidad integral y la protección de datos son los imperativos fundamentales de TI para el futuro previsible.
Independientemente del entorno normativo, tomar medidas para comprender y proteger los datos dará sus frutos.
Por eso, el plan estratégico de seguridad de datos en 2021 (y después) debe seguir un principio rector simple: aplique principios de seguridad de confianza cero a los datos donde sea que se almacenen y usen. En un entorno regulatorio y de amenazas incierto, la seguridad de confianza cero (que protege los datos limitando el acceso solo a aquellos con necesidad de conocerlos) es el enfoque de política ideal.
En 2021, seguramente crecerán las herramientas que permitan el descubrimiento de datos a través de IA y que puedan automatizar la seguridad de confianza cero. La idea es poder categorizar los datos de forma autónoma, evaluar la importancia del negocio e incluso deducir las políticas de gestión de datos adecuadas, todo sin gastos adicionales de TI.
Una gran dosis de incertidumbre seguramente nos espera en 2021. Y, sea lo que sea lo que nos depare el próximo año, ahora podemos tomar medidas para anticipar las tendencias de seguridad que darán forma a TI en los próximos años.