1

Los riesgos de los “datos oscuros” y cómo minimizarlos

CIO.com | Por Ed Tittel

Así como existe la “fibra oscura” en la industria de las telecomunicaciones, también  existen los “datos oscuros” para muchas empresas y organizaciones. Estos vastos charcos de datos sin explotar, en gran medida desprotegidos, simplemente están allí, haciendo nada por la línea de fondo.

Isaac Sacolik, en su libro  Datos oscuros: Una definición de negocios, lo describe como “datos que se mantienen por si acaso, pero que (hasta ahora) no han encontrado un uso apropiado”.

Por desgracia, cuando la fibra oscura representa inequívocamente un activo a la espera de ser explotado –simplemente con encenderlo para añadir ancho de banda y capacidad de carga– pueden plantear riesgos de seguridad en caso de que caiga en las manos equivocadas, o en un rango fuera de su propietario control.

Datos oscuros: promesas incumplidas y amenazas oscuras

La mayoría de las discusiones sobre los datos oscuros tienden a centrarse en su valor potencial y la utilidad de una organización. De hecho, para aquellas organizaciones que estén dispuestas a gastar recursos, (dinero, herramientas y tiempo), para desarrollar y explotar la información y el valor encerrado en el interior los datos oscuros, ese potencial es sin duda atractivo.

Esto también explica por qué muchas organizaciones se resisten a desprenderse de los datos oscuros, incluso si no tienen planes para poner a trabajarlos a su favor, ya sea en el corto plazo o más allá del horizonte de planificación.

Al igual que con muchos activos potencialmente gratificantes y de información intrigante, las organizaciones también deben ser conscientes de que los datos oscuros poseen información sobre ellos, sus clientes y sus operaciones que se almacenan en la nube, fuera de su control y gestión inmediata, y que puede representar un riesgo para la salud del negocio.

Estos riesgos dependen de los tipos y calidad de los datos que un investigador determinado podría ser capaz de recoger de una colección de datos oscuros puestos a su disposición.

Teniendo en cuenta el tipo de datos que la mayoría de las organizaciones recopilan, esos riesgos pueden incluir algunos, o todos de los siguientes:

  • El riesgo legal y regulatorio. Si los datos cubiertos por el mandato o la regulación – como, información confidencial financiera (tarjeta de crédito u otros datos de la cuenta) o registros de pacientes – aparece en cualquier parte de las colecciones de datos oscuros, su exposición podría implicar responsabilidad legal y financiera.
  • Riesgo de Inteligencia. Si los datos oscuros abarcan información privada o sensible, reflejo de las operaciones de negocio, prácticas, ventajas competitivas, importantes alianzas y empresas conjuntas, y así sucesivamente, la divulgación accidental podría afectar negativamente a la línea de fondo o poner en peligro las actividades de negocios importantes y relaciones.
  • Reputación en riesgo. Cualquier tipo de violación de los datos se refleja negativamente en las organizaciones afectadas por las mismas. Esto se aplica tanto a los datos oscuros, (especialmente a la luz de otros riesgos) como a otros tipos de infracciones.
  • Los costos de oportunidad. Dado que la organización ha decidido no invertir en el análisis y la minería de datos oscuros, por definición, los esfuerzos concertados por parte de terceros para explotar su valor representan las pérdidas potenciales de la inteligencia y el valor en base a su contenido.
  • Exposición de composición abierta. Por definición, los datos oscuros contienen información que es demasiado difícil o costosa de extraer para ser explotada, o que contiene fuentes desconocidas, (y por lo tanto sin evaluar) de la inteligencia y la exposición a la pérdida o daño. secretos de los datos oscuros pueden ser muy  perjudicial de hecho, pero uno no tiene manera de saber a ciencia cierta. Esto no se puede cultivar la complacencia o indiferencia en los que contemplan dichos riesgos en absoluto en serio.

Los riesgos que entrañan los datos atenuantes

Teniendo en cuenta que los datos oscuros plantean riesgos lo que pueden hacer las organizaciones para gestionar esos riesgos es gestionar algunas de las numerosas estrategias y tecnologías que pueden proporcionar cierto grado de protección contra tales riesgos útiles, tanto conocido como desconocido.

  • Inventario y evaluación continua. Los fondos de datos oscuros deben ser reconocidos y sujetos a reconocimientos periódicos. También deben impulsar la investigación en curso sobre las nuevas herramientas y tecnologías para ayudar a extraer valor de tales datos. Datos oscuros de ayer pueden convertirse en una fuente brillante de la visión, gracias a las nuevas herramientas o técnicas analíticas. Alguien tiene que mantener un ojo en estas cosas y estar listos para ponerlos a trabajar cuando los beneficios de su uso sean mayores que sus costos. Además, la realización de un inventario regular de los datos oscuros; cómo se almacena, cómo se protege y qué tipo de controles de acceso ayudan a mantener su seguridad.
  • Cifrado ubícuo. Cualquier lote de activos digitales con valor potencial y el posible riesgo deben ser almacenados de forma cifrada, ya sea en las instalaciones y equipos de la organización, o en la nube a otra parte. No hay datos oscuros que puedan o deban ser de fácil acceso para la inspección casual, bajo ninguna circunstancia.
  • Retención de las políticas y su eliminación segura. Siempre vale la pena considerar cómo los datos oscuros deben mantenerse o eliminarse correctamente, sujeta dicha eliminación al Departamento apropiado, dependiendo de si sólo los contenidos o ambos contenidos y los medios de comunicación tienen también que ser desechados. Los TI y la gestión ejecutiva deben trabajar con las unidades organizativas o divisiones para decidir si se deben conservar los datos oscuros y, si es así, la mejor forma de mantener la seguridad y gestionar el riesgo.
  • Auditoría de datos oscuros para fines de seguridad. Lamayoría de las organizaciones de cualquier auditoría de seguridad periódica evalúan conducta tamaño, riesgos, exposiciones, de respuesta y de política y cualquier incidente. Datos oscuros necesita ser dominado en este proceso y ser monitoreado con la frecuencia suficiente para gestionar los riesgos de la exposición, así como la posible pérdida o daño.

¿Tal vez no sean tan oscuros después de todo?

Dada la apreciación tanto para el valor potencial y posible riesgo, las organizaciones pueden tratar con datos oscuros para equilibrarlos. Sólo por hacer un balance de lo que hay, sin embargo, y sólo mediante el empleo de un enfoque desapasionado y completo a la gestión de la exposición al riesgo y, una organización puede obtener un vínculo alrededor de sus tenencias de datos oscuros.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.