Los diez mitos sobre la protección de datos
Existen múltiples mitos en las organizaciones en lo que respecta a la protección de la información. En este artículo, desenmascaramos algunos de ellos y explicamos las mejores prácticas para proteger los datos sin minar al negocio.
1.- Prevenir la pérdida de datos es un problema del administrador de seguridad. Asegurar las compañías de amenazas externas ha sido siempre una tarea del administrador de seguridad, pero hacerlo ante la pérdida de datos requiere una visión más amplia. Hoy, el reto de proteger datos sensibles abarca varios departamentos. Cada día, los CIO afrontan la puesta en marcha de los procesos y tecnologías necesarios para proteger los datos confidenciales y ceñirse a las regulaciones, pero deben lograrlo sin estorbar al negocio.
2.- Si se bloquean los mensajes instantáneos, el ‘webmail’ y los dispositivos de almacenamiento externo, no es preocupante la pérdida de datos. Controlar la mensajería instantánea, el correo web y las unidades de almacenamiento externo puede aumentar la seguridad básica de datos pero, en este mundo interconectado, poner fuertes restricciones al flujo de información puede dificultar el desarrollo del negocio. Una prevención efectiva requiere habilidad para mantener la información dentro de la empresa sin hacer estragos en su uso legítimo durante el desarrollo normal del negocio.
3.- Las empresas saben dónde están sus datos. Comprender quién tiene acceso a los datos y dónde fluyen es crucial para gestionar éstos. Además de identificar la información sensible, los CIO deben comprender otras áreas de exposición a la pérdida de datos, como los puntos finales no seguros o existen políticas de uso de Internet.
4.- Hay que proteger más las filtraciones maliciosas internas y los robos. Las filtraciones maliciosas de datos y los robos son importantes, pero la mayoría de las pérdidas no son intencionadas. Suelen ser provocadas por errores y negligencias de los empleados y subcontratados. Para prevenirlas y atajar la mayor parte de los riesgos hay que centrarse en la pérdida accidental de datos.
5.- La tecnología de protección de pérdida de datos es cara y complicada. Cada organización es diferente y el coste potencial de la pérdida varía. Pero información confidencial, como los planes de gestión y administración, informes de beneficios y propiedad intelectual, pueden tener un impacto enorme sobre el negocio si se pierden. Cada compañía debe cuantificar el coste previsto de una brecha. A partir de ahí, podrá determinar si está justificado implementar controles de información, como la tecnología de prevención de pérdidas de información.
6.- Los empleados saben qué pueden enviar o no fuera la compañía. La mayoría de los empleados no pierde información intencionadamente y, si se dan la formación y educación adecuadas junto con una tecnología de prevención de pérdidas de información, el riesgo de la pérdida de datos disminuye mucho. Pero la mayoría de los empleados no conoce las políticas de sus compañías. A menudo no entienden por qué enviar trabajo a casa a través de webmail es arriesgado o por qué es importante la protección con contraseñas. En un entorno cada día más móvil la formación de los empleados es incluso más importante. Las mejores prácticas para la educación de los empleados comienzan con la comunicación. Éstos deberían recibir formación al ser contratados, y continuar con unos cursos anuales de refresco que les enseñen a qué información pueden acceder y cómo usarla. El segundo paso es utilizar tecnología para proporcionar educación continuada.
7.- La tecnología de prevención de pérdida de información entorpece el negocio. En contra de lo que piensan muchos CIO cuando escuchan hablar de “prevención de pérdidas de información”, encontrar la solución adecuada mejora realmente el negocio.
8.- Si se desarrolla una tecnología de prevención de pérdidas de información, se recibirán multitud de falsos positivos. La capacidad de discernir las brechas de las actuaciones normales es crucial para mantener el equilibrio entre seguridad y efectividad operacional. Algunas soluciones de prevención tienen una alta tasa de falsos positivos (y negativos). Para evitar su costosa tasa, hay que buscar una solución de alta precisión en la protección, tanto para datos estructurados como desestructurados; y asegurarse de que tenga un buen conjunto de políticas de control y maduras capacidades de ejecución.
9.- Sólo las industrias reguladas precisan una tecnología de prevención de pérdidas de información. Los datos del consumidor no son la única información por la que deben preocuparse las compañías. La propiedad intelectual también es crítica, y hay que protegerla.
10.- La tecnología de prevención de pérdidas de información resuelve todos los problemas de pérdida de datos. Dicha tecnología proporciona un método para descubrir dónde residen los datos más sensibles y previene éstos abandonen la empresa a través de vías comunes de comunicación como el e-mail y la mensajería instantánea. Pero debe usarse junto con la adecuada formación de los empleados y puede utilizarse con otras tecnologías como la gestión de derechos de acceso a los documentos, encriptación, etc.
CIOForum 08 es una conferencia de ComputerWorld dirigida a los directivos de TI de las mayores empresas españolas y centra sus contenidos en los aspectos ligados al nuevo rol que debe desempeñar el CIO en el siglo XXI. Con el lema “Tecnología y negocio. Por un crecimiento sostenible” y con el patrocinio de BT, CDC Software, HP y Vodafone, tendrá lugar del 31 de marzo al 2 de abril en el Le Meridien Ra Beach Hotel & Spa (Tarragona).