Jorge Pasamn Gerente de la divisin IT-ERS de Deloitte
Hoy en da, las empresas desarrollan su actividad en un entorno cada
vez ms distribuido y mvil, lo que obliga a enfrentarse a nuevos desafos en la proteccin de su informacin confidencial. Las continuas prdidas de importantes cantidades de datos confidenciales por parte de organizaciones, tanto pblicas como privadas, ponen en evidencia la ineficacia o insuficiencia de las medidas de seguridad habituales adoptadas para su proteccin. La variedad de canales propicios para facilitar que los datos puedan abandonar el permetro de la compaa es cada vez ms elevado, como se aprecia grfico de Infowatch (ver imagen inferior). Para minimizar la fuga de datos, las empresas deben integrar la Seguridad en su cultura empresarial y evaluar constantemente los riesgos de cada interaccin con redes,
36
red seguridad
dispositivos, aplicaciones, datos y,
por supuesto, otros usuarios. En todo el mundo se utilizan cada vez ms las redes para comunicarse, colaborar entre s y acceder a la informacin. Las empresas, inmersas en aumentar su productividad, buscan integrar cada vez ms las comunicaciones de red con las operaciones comerciales, e incentivan a que sus empleados aprovechen tecnologas a su alcance. La productividad aumenta, pero la colaboracin basada en la red sita la informacin en un entorno que es ms vulnerable y difcil de proteger. Los datos almacenados en estas redes son ms accesibles que
noviembre 2010
nunca. Las organizaciones facilitan
el acceso a sus bases de datos con el fin de compartir y almacenar informacin, y la tecnologa de compresin ha permitido dispositivos de mayor capacidad y, consecuentemente, de mayor riesgo. La piratera informtica se ha convertido de manera creciente en una profesin delictiva con fines de lucro. Gran parte del peligro proviene de Internet, que es un componente crucial de la infraestructura empresarial actual. Y es en este entorno donde se generan fugas de informacin por parte de los empleados, a pesar de los grandes esfuerzos que realizan los profesionales de TI para impedirlo.
especial
dlp
opinin
Una consultora previa permitir evaluar el verdadero
impacto que tendra una prdida o robo de informacin. La meta es que cada persona por s misma est concienciada de que la Seguridad es fundamental
Adems de tener ms informacin en riesgo, las empresas de
hoy sufren ms si estos datos se pierden o se ven comprometidos. La prdida de propiedad intelectual (como, por ejemplo, los diseos de productos privados, los datos financieros, los planes de fusiones y adquisiciones, etc.) puede daar la reputacin de una empresa, debilitar su marca o reducir su ventaja competitiva. Las infracciones de las normativas que regulan el manejo de datos confidenciales de clientes pueden mermar la confianza de estos y acarrear sanciones. La prevencin de la fuga de datos integra cada vez ms funciones. Si antes se limitaba simplemente a detectar la informacin sensible que sale de la red, ahora tambin identifica dnde se encuentran los datos crticos ("Descubrimiento") y cmo se utiliza ("Monitorizacin"), tal y como se aprecia en el grfico inferior. Muchas empresas se encuentran en un entorno de falsa seguridad al confiar exclusivamente en la tecnologa; la mejor tecnologa de
seguridad del mundo no producir
el efecto deseado si no se cuenta con una slida base de procesos, polticas y educacin en materia de Seguridad y proteccin de informacin. Es necesario definir una estrategia integral para lograr un nivel de Seguridad sostenible, que permita, mediante un enfoque cclico, dar respuesta a las principales preguntas que toda organizacin debe conocer: Qu es informacin confidencial?, dnde est ubicada?, cmo est siendo utilizada? y quin la est utilizando? Una consultora previa permitir evaluar el verdadero impacto que una prdida o robo de informacin tendra, de forma que la posterior incorporacin de polticas de seguridad, tecnologas de prevencin Data Loss Prevention (DLP) y la capacitacin de los empleados permita optimizar las bases para la evaluacin de los riegos de cada interaccin entre usuarios y redes, sistemas, aplicaciones, datos y, por supuesto, otros usuarios. De esta manera, es evidente que una pol-
tica adecuada en este sentido se
convierte en un factor crtico para el xito: la Seguridad ha de ser una parte integral de la cultura empresarial y as debe entenderse en todos los departamentos. Por este motivo, prevenir la fuga de informacin es un desafo que incumbe a toda la empresa. Cuantas ms personas comprendan este desafo, desde ejecutivos a profesionales de TI y empleados de todos los niveles de responsabilidad, la empresa podr proteger mejor sus recursos cruciales. La meta es que cada persona, por s misma, en cada nivel, est concienciada de que la Seguridad empresarial es fundamental, comprenda las polticas y los procedimientos para lograr un entorno seguro y ponga en prctica las medidas necesarias cada da. Con la voluntad y las inversiones suficientes, las empresas pueden reducir la fuga de informacin. La recompensa final compensar con creces todo el esfuerzo realizado.
Conocer dnde se encuentran
los datos crticos es tan importante como seleccionar las herramientas DLP, responsables de la monitorizacin de todo el proceso.