Las claves de la seguridad de la información en 2008
La protección y gestión de datos se perfila como una prioridad en la agenda del CIO
La seguridad de la información sigue siendo un aspecto vital en las organizaciones. Y cada vez lo será más, si observamos el complejo escenario actual, caracterizado por el aumento exponencial de los datos, el acceso a la información desde cualquier lugar y a través de todo tipo de redes y la aparición de toda una serie de normativas en materia de protección de datos. Las organizaciones deben saber cómo actuar en materia de seguridad para no sufrir ningún riesgo.
En este nuevo y complejo panorama, el rol del director de seguridad de la información en las organizaciones es cada vez más necesario. Eso sí, éste debe ser un profesional con conocimientos empresariales, de prevención de riesgos y experimentado en cuestiones técnicas. Estas cualidades, junto a un fuerte sentido estratégico, serán necesarios para que sus organizaciones puedan cumplir con sus objetivos de seguridad de la información para este año 2008.
A la hora de desarrollar una política de de seguridad, los asuntos que estos directivos no pueden olvidar, de hecho, deben ser prioritarios, son la protección y administración de datos, el cumplimiento de normativas, la integración efectiva de prácticas de seguridad de la información en los proyectos clave de la empresa y la administración de riesgos. El modo en el que su estrategia se ocupe de estos aspectos cruciales puede determinar el éxito final de su política de seguridad en la empresa.
¿Dónde se han ido los datos?
En este nuevo escenario, parece que los datos se han vuelto rebeldes. Aunque inanimados, están causando problemas porque crecen a una velocidad incontrolable y parecen esconderse en cualquier lado –tanto en los confines fiables del centro de proceso de datos como viajando por los portátiles, PDA y correos electrónicos–. Se exhiben (a propósito y de manera inadvertida) en una proporción alarmante y eso supone un abierto desafío a las políticas y regulaciones de las organizaciones.
Por este motivo, la prioridad en la agenda de seguridad de la información de este año 2008 debe ser la protección de datos. La práctica de proteger la confidencialidad, integridad y disponibilidad de datos no es nueva –las contraseñas, la encriptación y las estructuras de clasificación de datos han estado aquí desde hace años–. Lo que ha cambiado es el tipo de datos que ahora se consideran valiosos. Desde la perspectiva del atacante externo, la propiedad intelectual y la información confidencial fueron en su momento los datos más buscados. Pero en la actualidad la elección es la identidad: direcciones de e-mail, números de la seguridad social e información de tarjetas de crédito. El espionaje industrial sigue siendo una amenaza significativa, aunque el nuevo objetivo es la cantidad: en estos días el éxito se mide en miles y millones de identidades.
Internamente, la protección de datos es igualmente complicada. Los ejecutivos exigen que los datos estén disponibles para ayudar en la toma de decisiones, aunque la disponibilidad esté limitada sólo a aquellos miembros del equipo con “necesidad de conocerlos”. Tanto a través de correo electrónico, como a través de unidades externas de almacenamiento o dispositivos móviles, la información sensible abandona las compañías en masa. Y el problema se complica más si se añade a este panorama las complejidades del outsourcing y offshoring. Éstas hacen que la estrategia de protección de datos tenga que extenderse más allá de las paredes antaño fiables y cubra todo el mundo.
En esencia, la dificultad de asegurar los datos empieza por algo tan básico como saber dónde se encuentran los más importantes. Posteriormente, este proceso lleva a una miríada de preguntas adicionales y obstáculos potenciales: ¿cómo deberían protegerse los datos? ¿Qué riesgo corre la empresa si se pierden, los roban o se desclasifican? ¿Cuáles son las implicaciones legales de una filtración? ¿Quién controla la versión más reciente de los datos? ¿Cómo protegen los datos los partners?
Ésta es la situación del mundo de la gestión de datos. En su forma más simple, la administración de datos es un término global que se refiere a distintas perspectivas dentro de una misma estrategia de protección de la información. Aunque debajo de este paraguas hay una variedad de aspectos: inventario y clasificación de datos o, lo que es lo mismo, dónde se encuentran los datos cruciales y qué decisión se va a tomar con respecto a cómo y por quién pueden ser consultados, manejados, almacenados, procesados y utilizados; administración de riesgos con los distribuidores o cómo se comparten los datos con los socios empresariales y cómo se protegen éstos después; y fuga de datos, o sea, qué datos están saliendo de la organización de manera imprevista o inapropiada. También hay que destacar la cuestión de la autorización, es decir, dónde pueden guardarse las copias o réplicas de los datos dentro del entorno de TI, dónde guardar la versión más reciente, quién la controla y cómo se pueden extender los cambios a lo largo de la organización para ayudar en la toma de decisiones. Además, no hay que olvidar otros problemas, como los relativos a la privacidad y al cumplimiento de normativas –si se están cumpliendo las previsiones de privacidad y los requerimientos legales en toda la empresa y en las terceras partes que colaboren desde fuera–. Por último, aunque no por ello menos importante, hay que tener en cuenta aspectos como el e-discovery y el soporte legal, particularmente con respecto a la accesibilidad a herramientas y procesos para responder a demandas ad hoc a lo largo de toda la empresa y a las exigencias legales.
Mejor cumplimiento de la normativa
Aunque la protección de datos es el reto más complicado en materia de seguridad de la información para las organizaciones, lo cierto es que el aspecto que más atención acaparará por parte de los directores de seguridad o de los de TI es el cumplimiento de las normativas. Según el Décimo Estudio Anual sobre la Seguridad de la Información Mundial, el 60% de los encuestados citó el cumplimiento de la normativa como la actividad más importante en su empresa, y más de la mitad de ellos afirmó que la mayoría del tiempo de su equipo se gasta en estas actividades. Poco menos del 80% de los encuestados advirtió que unir los objetivos de cumplimiento de normativas con las iniciativas de seguridad de la información les había ayudado a justificar y obtener recursos y presupuesto para esas iniciativas; éstos también afirmaron que tener que atender los requisitos legales había mejorado la posición de la seguridad de la información dentro de sus empresas.
Estos datos muestran que, sin duda, este tipo de iniciativas de cumplimiento de normativas seguirán impulsando la estrategia de seguridad de la información en las organizaciones a lo largo de este año 2008, siendo un componente clave de las mismas.
Proteger a la empresa desde el interior al exterior
Aunque la protección de datos suponga el mayor desafío y el cumplimiento de la normativa consuma la mayoría del tiempo de los directivos de TI, la tendencia más relevante para 2008 es la emergencia de la seguridad
En este nuevo y complejo panorama, el rol del director de seguridad de la información en las organizaciones es cada vez más necesario. Eso sí, éste debe ser un profesional con conocimientos empresariales, de prevención de riesgos y experimentado en cuestiones técnicas. Estas cualidades, junto a un fuerte sentido estratégico, serán necesarios para que sus organizaciones puedan cumplir con sus objetivos de seguridad de la información para este año 2008.
A la hora de desarrollar una política de de seguridad, los asuntos que estos directivos no pueden olvidar, de hecho, deben ser prioritarios, son la protección y administración de datos, el cumplimiento de normativas, la integración efectiva de prácticas de seguridad de la información en los proyectos clave de la empresa y la administración de riesgos. El modo en el que su estrategia se ocupe de estos aspectos cruciales puede determinar el éxito final de su política de seguridad en la empresa.
¿Dónde se han ido los datos?
En este nuevo escenario, parece que los datos se han vuelto rebeldes. Aunque inanimados, están causando problemas porque crecen a una velocidad incontrolable y parecen esconderse en cualquier lado –tanto en los confines fiables del centro de proceso de datos como viajando por los portátiles, PDA y correos electrónicos–. Se exhiben (a propósito y de manera inadvertida) en una proporción alarmante y eso supone un abierto desafío a las políticas y regulaciones de las organizaciones.
Por este motivo, la prioridad en la agenda de seguridad de la información de este año 2008 debe ser la protección de datos. La práctica de proteger la confidencialidad, integridad y disponibilidad de datos no es nueva –las contraseñas, la encriptación y las estructuras de clasificación de datos han estado aquí desde hace años–. Lo que ha cambiado es el tipo de datos que ahora se consideran valiosos. Desde la perspectiva del atacante externo, la propiedad intelectual y la información confidencial fueron en su momento los datos más buscados. Pero en la actualidad la elección es la identidad: direcciones de e-mail, números de la seguridad social e información de tarjetas de crédito. El espionaje industrial sigue siendo una amenaza significativa, aunque el nuevo objetivo es la cantidad: en estos días el éxito se mide en miles y millones de identidades.
Internamente, la protección de datos es igualmente complicada. Los ejecutivos exigen que los datos estén disponibles para ayudar en la toma de decisiones, aunque la disponibilidad esté limitada sólo a aquellos miembros del equipo con “necesidad de conocerlos”. Tanto a través de correo electrónico, como a través de unidades externas de almacenamiento o dispositivos móviles, la información sensible abandona las compañías en masa. Y el problema se complica más si se añade a este panorama las complejidades del outsourcing y offshoring. Éstas hacen que la estrategia de protección de datos tenga que extenderse más allá de las paredes antaño fiables y cubra todo el mundo.
En esencia, la dificultad de asegurar los datos empieza por algo tan básico como saber dónde se encuentran los más importantes. Posteriormente, este proceso lleva a una miríada de preguntas adicionales y obstáculos potenciales: ¿cómo deberían protegerse los datos? ¿Qué riesgo corre la empresa si se pierden, los roban o se desclasifican? ¿Cuáles son las implicaciones legales de una filtración? ¿Quién controla la versión más reciente de los datos? ¿Cómo protegen los datos los partners?
Ésta es la situación del mundo de la gestión de datos. En su forma más simple, la administración de datos es un término global que se refiere a distintas perspectivas dentro de una misma estrategia de protección de la información. Aunque debajo de este paraguas hay una variedad de aspectos: inventario y clasificación de datos o, lo que es lo mismo, dónde se encuentran los datos cruciales y qué decisión se va a tomar con respecto a cómo y por quién pueden ser consultados, manejados, almacenados, procesados y utilizados; administración de riesgos con los distribuidores o cómo se comparten los datos con los socios empresariales y cómo se protegen éstos después; y fuga de datos, o sea, qué datos están saliendo de la organización de manera imprevista o inapropiada. También hay que destacar la cuestión de la autorización, es decir, dónde pueden guardarse las copias o réplicas de los datos dentro del entorno de TI, dónde guardar la versión más reciente, quién la controla y cómo se pueden extender los cambios a lo largo de la organización para ayudar en la toma de decisiones. Además, no hay que olvidar otros problemas, como los relativos a la privacidad y al cumplimiento de normativas –si se están cumpliendo las previsiones de privacidad y los requerimientos legales en toda la empresa y en las terceras partes que colaboren desde fuera–. Por último, aunque no por ello menos importante, hay que tener en cuenta aspectos como el e-discovery y el soporte legal, particularmente con respecto a la accesibilidad a herramientas y procesos para responder a demandas ad hoc a lo largo de toda la empresa y a las exigencias legales.
Mejor cumplimiento de la normativa
Aunque la protección de datos es el reto más complicado en materia de seguridad de la información para las organizaciones, lo cierto es que el aspecto que más atención acaparará por parte de los directores de seguridad o de los de TI es el cumplimiento de las normativas. Según el Décimo Estudio Anual sobre la Seguridad de la Información Mundial, el 60% de los encuestados citó el cumplimiento de la normativa como la actividad más importante en su empresa, y más de la mitad de ellos afirmó que la mayoría del tiempo de su equipo se gasta en estas actividades. Poco menos del 80% de los encuestados advirtió que unir los objetivos de cumplimiento de normativas con las iniciativas de seguridad de la información les había ayudado a justificar y obtener recursos y presupuesto para esas iniciativas; éstos también afirmaron que tener que atender los requisitos legales había mejorado la posición de la seguridad de la información dentro de sus empresas.
Estos datos muestran que, sin duda, este tipo de iniciativas de cumplimiento de normativas seguirán impulsando la estrategia de seguridad de la información en las organizaciones a lo largo de este año 2008, siendo un componente clave de las mismas.
Proteger a la empresa desde el interior al exterior
Aunque la protección de datos suponga el mayor desafío y el cumplimiento de la normativa consuma la mayoría del tiempo de los directivos de TI, la tendencia más relevante para 2008 es la emergencia de la seguridad
