Este artículo lo ha escrito Pablo Jimeno, nuestro Territory Manager para Mid Market, experto en seguridad del puesto de trabajo y protección de datos hoy nos deja unas reflexiones que creemos que cualquier empresa debería tener en cuenta.
INTRODUCCIÓN
Los riesgos que corren los departamentos de TI y la dirección de las empresas relacionados con pérdidas de información son cada vez mayores. El diseño de un plan de seguridad de datos proporciona el conocimiento necesario para la gestión de ese riesgo y para mantenerse dentro de la legalidad. Las filtraciones y pérdida de datos por violación de los sistemas de seguridad informática están a la orden del día (sólo en EEUU se han visto comprometidos más de 500 millones de registros desde 2.005). Además, la pérdida de datos debida a fallo humano o negligencia es algo igualmente peligroso. Afortunadamente, es mucho menos costoso prevenir un incidente de pérdida o robo de datos que resolverlo una vez se ha producido.
PORQUÉ SU ORGANIZACIÓN NECESITA PROTEGERSE DE LAS FUGAS DE INFORMACIÓN
Los datos pueden escapar al control del departamento de TI de una organización de muchas formas: servidores mal protegidos, puestos de trabajo, portátiles, dispositivos móviles o mensajes de correo, y los cibercriminales utilizar herramientas cada vez más sofisticadas para destruir o robar información valiosa. Todo esto hace esencial la protección de datos sensibles como los relacionados con la propiedad industrial, información estratégica de negocio o datos personales de empleados y clientes. Las empresas de cualquier sector deben tener en cuenta multitud de requisitos legales relacionados con la protección de información personal y, dependiendo de su actividad, se les puede exigir sistemas que garanticen la seguridad en el intercambio de información sensible con clientes y proveedores.
GESTIONE ADECUADAMENTE LOS RIESGOS ASOCIADOS A LA GESTIÓN DE INFORMACIÓN Y EL CUMPLIMIENTO DE NORMATIVAS SERÁ MÁS SENCILLO
Respecto a cumplimiento de normativa relativa a seguridad de la información, recomendamos dar prioridad a los riesgos asociados a la gestión de datos. Si esto se hace correctamente, el cumplimiento de las normativas se convierte en una tarea mucho más sencilla. Aunque existen muchos requisitos legales que cumplir, según la experta en seguridad Rebecca Herold, si se implantan y mantienen prácticas adecuadas de protección de datos, se cubre entre el 85 y 90% de la normativa.
En resumen, la estrategia para gestionar los riesgos relativos a la protección de datos debería seguir estos pasos:
- Conozca sus datos sensibles.
- Conozca qué datos poseen sus empleados y a cuales acceden.
- Identifique claramente dónde se almacena la información sensible.
- Identifique qué información debe recoger y sepa qué debe guardar y qué no.
- Limite el acceso a la información.
- Despliegue las medidas de seguridad adecuadas, tanto procedurales como tecnológicas.
CASOS DE FUGAS DE INFORMACIÓN
Según el Instituto Ponemon, cerca del 85% de las empresas estadounidenses han sufrido una o más fugas de información. En los siguientes casos, veremos cómo estos incidentes pueden tener un serio impacto en las organizaciones:
- Massachusetts General Hospital: Multa de 1 millón de dólares del Departamento de Salud de USA (HHS) por perder 192 registros médicos. Un empleado olvidó copias físicas de estos informes en el transporte público. Si la pérdida hubiese sido en soporte digital y el Hospital hubiera demostrado que los datos estaban encriptados, hubieran evitado la multa.
- British Petroleum: Un empleado perdió un portátil con datos sensibles de 13.000 afectados por un vertido. El portátil contenía datos no cifrados como nombres, números de la seguridad social, números de teléfono y direcciones de email. Y los portátiles son fáciles de perder: casi 12.000 por semana sólo en aeropuertos de Estados Unidos.
- NationwideBuildingSociety: Es una de las mayores empresas de servicios financieros en Inglaterra. La Autoridad de Servicios Financieros (FSA) multó a la compañía con cerca de 1 millón de libras por utilizar procedimientos y controles de seguridad deficientes que llevaron al robo de un portátil con datos personales de 11 millones de clientes. El portátil fue sustraído de la casa de un empleado. Aparte de las multas, la empresa tuvo que hacer frente a los gastos de notificación a los millones de personas afectadas.
COSTE DE LAS FUGAS DE INFORMACIÓN
El Instituto Ponemon constató en su informe sobre fugas de información en EEUU que el coste medio por registro comprometido fue de 214$ y 7.200.000$ por incidente. Aparte de considerar los costes directos de las fugas de información – como los de notificación a afectados y los legales – deben tenerse en cuenta también los indirectos, como la pérdida de confianza y de clientes que pueden causar. Estos últimos pueden ser más difíciles de cuantificar, pero en muchos casos son mayores.
NUEVAS FORMAS DE EXPOSICIÓN DE LA INFORMACIÓN
Hay varios factores que exponen la información corporativa a pérdidas o robo: desde los errores humanos hasta los ataques maliciosos, los fallos técnicos y los riesgos que implica el uso de nuevas tecnologías. El uso de dispositivos móviles y la tendencia a compartir terminales para tareas personales y profesionales son algunas de las causas principales del aumento de la vulnerabilidad de la información.
En cuanto a errores humanos, los más comunes son las pérdidas de dispositivos móviles y de almacenamiento externo durante viajes. Debe prestarse especial atención a las memorias USB, que aparte de almacenar muchas veces información sensible, se han convertido en un potente vehículo de propagación de malware que puede poner en peligro la seguridad de su red y por tanto de su información. Los analistas de seguridad recomiendan cifrar tanto los discos duros de los portátiles como los dispositivos de almacenamiento externo. Avivah Litan, Vice Presidente y Analista Distinguido de Gartner dice: “No hay ninguna excusa para cifrar los portátiles. Las empresas que no lo hacen, simplemente están siendo perezosas”.
Aparte de los posibles errores de empleados, hay que prestar atención a la seguridad de la información en el intercambio de datos con proveedores o colaboradores externos. Deben emplearse medidas de seguridad que posibiliten cumplir con las normativas, como las relacionadas con la protección de secretos industriales. Suele ser una buena medida utilizar mecanismos que automaticen la securización delos procesos que pueden implicar fugas de información, eliminando delos mismos en lo posible el factor humano. Un ejemplo es la implantaciónde un sistema que permita el cifrado de correo electrónico sin intervención del usuario.
Además de los errores involuntarios, el otro principal problema con el factor humano son los ataques maliciosos. Los hackers o empleados descontentos intentarán conseguir acceso a información corporativa valiosa para su propio beneficio. En 2.010, el 31% de las fugas de información tuvieron su origen en un ataque de este tipo.
Los riesgos para la seguridad de la información asociados a nuevas tecnologías o a nuevos usos de las existentes que más preocupan son: la utilización de dispositivos personales en el entorno corporativo, el incremento de dispositivos móviles, las redes sociales y la securización de entornos virtuales y alojados en la nube.
¿ESTÁ HACIENDO LO POSIBLE PARA PROTEGER SU INFORMACIÓN Y MANTENERSE EN LA LEGALIDAD?
Para ocuparse de manera eficiente de la seguridad de la información, será necesario considerar por separado sus distintos componentes: los requisitos legales, los procesos operacionales y procedimientos que se implanten y las herramientas tecnológicas que se utilizan para hacer el trabajo.
Para abordar esta casuística, es útil agrupar la tecnología en cuatro categorías que cubren distintos aspectos de la seguridad de la información, aunque se apoyen unas en otras para crear un sistema de seguridad por capas. Así es como Sophos proporciona esta seguridad:
- Cifrado: La tecnología de Sophos hace que sea fácil compartir información de forma segura con herramientas de cifrado de discos duros, dispositivos extraíbles y correo electrónico.
- Protección contra amenazas: Es necesaria una solución que detecte de forma proactiva amenazas de día cero y reaccione rápidamente a los ataques. Con Live Protection y Web ProtectionSophos le da la seguridad que necesita.
- Prevención de Fuga de Datos (DLP): Sophos proporciona una herramienta DLP sencilla. Integramos en nuestro motor de detección de amenazas el análisis de contenidos y proporcionamos un completo juego de diccionarios de tipos de datos sensibles para permitir una protección inmediata.
- Controles de seguridad: Con Sophos puede crear un entorno TI seguro para su empresa cubriendo los focos de infección y previendo incidentes. Sophos proporciona control de acceso a la red (NAC), control de aplicaciones, control de dispositivos. Todas estas herramientas ayudan a reducir riesgos.