Aliviar la tensión entre la seguridad de datos y la automatización
La automatización está en conflicto con la seguridad de datos en la empresa. ¿Por qué?
El quid de la cuestión
La automatización aumenta la productividad al aprovechar el poder de las máquinas. Se pueden comprar o alquilar muchos servidores en la nube por el precio de un trabajador humano. Sin embargo, acceder a datos empresariales, particularmente con la velocidad y los volúmenes con que trabajan las máquinas, rompe innumerables políticas diseñadas y aplicadas para reducir el riesgo de proliferación y exposición de dichos datos. Me encontré con estas fuerzas conflictivas recientemente mientras construía una automatización.
La automatización extrae algunas páginas web internas que contienen métricas de visualización y las inserta en un conjunto de hojas de cálculo. Luego, las hojas de cálculo se mueven a una carpeta de red donde una segunda automatización detecta los nuevos archivos y los carga en una ubicación específica donde mi colega anota cualquier actividad o tendencia que necesite atención. Nos encanta. Luego, después de varias semanas de ejecuciones exitosas, falló debido a un secreto de seguridad vencido. Nuestra política de gobernanza de acceso a datos requiere que ciertas credenciales del sistema expiren periódicamente. Bueno para la seguridad. Las credenciales caducadas interrumpen la automatización. Malo para la productividad.
Hacer que los secretos de seguridad expiren periódicamente es claramente una buena práctica, pero ¿es necesario romper ciertas normas? La automatización ahorra mucho tiempo a mi equipo, pero simplemente consiste en leer datos de una ubicación y reformatearlos para facilitar su análisis en otra. ¿Es realmente necesario que la automatización se ejecute con el mismo nivel de privilegio que yo, un humano? Tiene que haber un compromiso en alguna parte.
Compromiso
Se me ocurren dos opciones que pueden servir como compromiso:
Opción A
Emitir un aviso cinco días antes del vencimiento, dando tiempo para renovarlo antes de que algo se rompa.
Opción B
Emita credenciales de servicio específicas para la tarea de automatización con el menor privilegio requerido.
Trate la automatización como otro tipo de usuario
Ambas opciones respetan los requisitos de seguridad de datos de la organización y, mediante un poco de mayor visibilidad y comunicación entre el negocio y las operaciones de seguridad (SecOps), es posible llegar a una solución prudente y eficaz. Un poco de compromiso bien razonado puede aliviar la tensión entre los imperativos de seguridad de datos y las automatizaciones que aumentan la productividad y, la mayoría de las veces, ninguna de las partes pierde, lo que significa que la empresa gana.
La automatización introduce un nuevo usuario en la gobernanza empresarial llamado trabajador máquina. Reúne a los implementadores de políticas de seguridad y automatización. Las organizaciones que reconozcan a este nuevo usuario y consideren sus requisitos reales con mayor detalle escaparán de la tensión de suma cero, establecerán prácticas de uso de datos más seguras y obtendrán las ganancias comerciales que ofrecen las tecnologías que mejoran la productividad.