Luis Alcázar, Gerente de Cuentas Corporativas, McAfee Perú
La necesidad de proteger los datos de las empresas se ha convertido en una preocupación latente, debido a que no sólo está en juego información de uso diario, sino también información crítica y sensible. Más aún, porque las consecuencias producidas por la fuga de información pueden ser devastadores, como pérdidas de ingresos, posibles sanciones de importancia y, lo que es peor, graves daños la reputación de la empresa o pérdida de confianza de los clientes.
Los hechos que producen las pérdidas de datos por fuga de información no se presentan sólo en las grandes empresas; estudios recientes muestran que una de cada cinco medianas empresas ha sufrido un incidente de seguridad que ha provocado altas pérdidas directas de ingresos. Adicionalmente, hay que tener en cuenta que los gastos de la reparación de una única pérdida de datos pueden superar rápidamente a la inversión de los sistemas de prevención de fuga de información que se implemente.
En vista de los riesgos cotidianos, estos son algunos consejos para el desarrollo de mejores prácticas que ayudarán a mantener la seguridad interna y prevenir los riesgos de pérdida de información:
1. Conozca las normativas que afectan a su empresa
Las empresas deben cumplir una gran cantidad normativas de acuerdo a sus respectivos sectores. Mientras que en el pasado las únicas empresas afectadas por el cumplimiento de regulaciones eran las pertenecientes a sectores muy regulados, como la atención sanitaria, las finanzas y las empresas públicas, en la actualidad muy pocos negocios escapan a estas exigencias.
Es preciso destacar que esas normativas suelen tener dos cosas en común: en primer lugar, su objetivo principal suele ser proteger los datos que identifican de manera inequívoca a una persona, paciente, cliente o empleado; y en segundo lugar, para cumplir muchas de estas normativas basta con cifrar estos datos confidenciales. Es necesario realizar un estudio sobre los requisitos específicos que afectan a su empresa, pero no cabe duda de que lo más sensato sea proteger los datos sensibles.
2. Identifique los riesgos de contenidos conocidos
En caso de administrar información personal, datos de tarjetas de crédito o historias médicas, es fundamental disponer de herramientas adecuadas que permitan analizar la red para detectar riesgos. Dichas herramientas deben ser capaces de analizar recursos de archivos compartidos, bases de datos y cualquier otro tipo de repositorio de datos de los cuales se disponga.
Es necesario que los mecanismos de detección sean capaces de encontrar todos los datos de naturaleza confidencial, sin excepción, ya sea en servidores, equipos de sobremesa u otras ubicaciones heredadas, que el equipo de TI ya no recuerda. Además, el motor de detección debe disponer de mecanismos de automatización que se ejecuten con regularidad, a medida que se crea nuevo contenido o se agrega a la red.
3. Hable con el personal de su empresa
Una protección eficaz empieza por un conocimiento profundo de los datos que son importantes para cada empleado. Involúcrelos lo antes posible y pregúnteles: qué tipo de datos genera y utiliza su departamento, quiénes son los encargados de gestionar los distintos tipos de datos, qué hacen con ellos, cómo colaboran, dónde almacenan y archivan sus datos, quién es la persona autorizada en su departamento para corregir los problemas que puedan surgir, etc.
Cada departamento conoce los datos que gestiona, por lo que no se trata de una tarea complicada. Y no sería apropiado ni práctico esperar que el departamento de TI determinara si un determinado tipo de datos es o no es confidencial.
4. Sepa dónde se encuentran sus datos
El hecho de saber dónde se almacenan sus datos podría no ser tan obvio como pareciera a primera vista. No hay duda de que los datos se encuentran en servidores de archivos, bases de datos y ordenadores personales. Pero ¿Qué pasa con las unidades de copia de seguridad, las unidades USB, los smartphones y los demás dispositivos personales que los empleados traen a la oficina?
Ponga el punto de mira más allá del material que la empresa entrega formalmente a los empleados. Es importante saber quién tiene acceso a todos estos sistemas y dispositivos personales.
5. Defina reglas formales para crear y modificar directivas
Seguramente contará con personas que aporten su contribución a las directivas implementadas con el fin de proteger los datos de su empresa. Es necesario saber cómo se van a proponer, comunicar y desplegar la incorporación y los cambios de directivas, para evitar interrupciones en los procesos habituales de la empresa. De esa manera, el trabajo de prevención continúa sin interrupciones.
6. Establezca mecanismos de alerta y de implementación
Ninguna estrategia de seguridad puede considerarse completa si carece de mecanismos de alerta y es incapaz de llevar a cabo acciones en tiempo real contra las amenazas. Si bien es importante que se envíen notificaciones a los administradores de TI y demás involucrados, las alertas a los usuarios finales son fundamentales para educar a los empleados y modificar su comportamiento con el fin de garantizar una gestión apropiada de los registros confidenciales.
Las acciones para hacer cumplir las directivas establecidas pueden ir de simples notificaciones por correo electrónico sobre brechas en la privacidad, a mecanismos más proactivos que fuercen el paso de los mensajes de correo electrónico con contenido confidencial por servidores de cifrado antes de que salgan de la empresa. En este contexto, también se puede incluir la denegación del acceso a correos web personales, así como a servicios de mensajería instantánea, que son conductos conocidos de infracciones de seguridad.
7. Delegue controles y responsabilidades
No cabe ninguna duda de que los distintos propietarios necesitarán diferentes niveles de acceso a sus datos y a las directivas que los protegen. Es necesario designar a una o varias personas para identificar los registros confidenciales, definir las directivas correspondientes y asegurarse de que la información está adecuadamente protegida.
Será primordial, además, poner en práctica un flujo de trabajo para gestionar incidentes. Y lo que es más importante, su empresa debe asegurarse de que los datos confidenciales que provocaron el incidente están ahora protegidos y que únicamente pueden acceder a ellos un grupo de usuarios y administradores con autorización.
8. Saque el máximo partido de las inversiones de TI existentes
A lo largo de los últimos 15 a 20 años, las empresas han invertido mucho en distintas tecnologías, han adaptado sus propias redes, desplegado aplicaciones y trabajado para mantener todo protegido durante el proceso. Sea cual sea el método que emplee para proteger sus datos confidenciales, éste debe aprovechar al máximo estas tecnologías, tanto en términos de funcionalidad como de experiencia del personal.
Por ejemplo, las soluciones de privacidad deben aprovechar los sistemas de detección de intrusiones, firewalls y soluciones de evaluación de vulnerabilidades que ya estén en funcionamiento en el entorno. Esto le ofrecerá una mejor visibilidad de la actividad de la red de bajo nivel y aumentará la precisión y la efectividad general de la solución de privacidad.
9. Opte por un enfoque basado en una plataforma
Sin distinción de la solución que piense desplegar, asegúrese de que la misma ofrezca administración centralizada y el tipo de herramientas de despliegue, implementación y generación de informes que necesita su empresa.
Con un enfoque tradicional, debería gestionar varias soluciones aisladas de distintos proveedores, cada una con sus propias necesidades de atención y mantenimiento. Esto podría poner en riesgo la seguridad, aumentar los costos de este tipo de enfoque, sus empleados deberían recibir formación sobre distintos sistemas y no podría contar con informes que cubran toda la empresa.
A diferencia de ello, una única solución pasa por adoptar un enfoque basado en una sola plataforma y permite comenzar con una solución e ir agregando otras a medida que se necesiten, sin necesidad de replicar infraestructuras y sin muchas exigencias de formación.
10. Diseñe su solución basada en sus necesidades
En nuestra experiencia, abordar en primer lugar un proyecto para satisfacer las necesidades urgentes es un factor importante. Comience por la protección de los portátiles o dispositivos móviles, el cifrado de archivos y de soportes extraíbles, o incluso por la prevención de la pérdida de datos, según sus necesidades específicas.
El enfoque de McAfee para proteger los datos le permite comenzar por la solución que sea más necesaria para su empresa, permitiendo adoptar otras funcionalidades más adelante, en función de sus necesidades. Gracias a este enfoque, puede resolver un problema táctico inmediato y mantener, al mismo tiempo, una posición que le permite alcanzar sus objetivos estratégicos.