McAfee anunció medidas de prevención y protección de información confidencial en las organizaciones, luego de que saliera a la luz pública la filtración de cuentas comerciales de personas que fueran subastadas en un disco duro por eBay y de datos personales de cientos de alumnos de una universidad chilena por una búsqueda en Google.
Al respecto, Francisco Odón, Director Data Protection para América Latina de McAfee, señala que “como hemos visto en casos puntuales este año, la pérdida de información puede ocurrir no sólo por el robo de la información desde dentro o por un hacker de fuera, sino también, por descuido en la implementación y administración de las políticas de seguridad de datos”.
El profesional agrega que “tener una estrategia de seguridad no es suficiente. Es necesario expandir esta última para incluir áreas puntuales que cubran la protección de la información de forma consistente a través de toda la organización. Esto incluye: sistemas, redes, banco de datos e interacción de los usuarios con los datos”.
La universidad chilena desde la cual se filtraron los datos personales de sus estudiantes, tomó las medidas de protección una vez que se denunció la filtración de los mismos. Una solución reactiva. “Aparentemente, en este caso, la falla principal estuvo relacionada con cómo esta información fue expuesta a motores de búsqueda automática como Google. No fue responsabilidad de Google, sino de no tomar las medidas adecuadas para prevenir que esta información fuera indexada y así expuesta a cualquier usuario que hiciera una cierta búsqueda desde su navegador de Internet”, aclara el experto.
“De haber seguido las mejores prácticas de enfocarse en tener los procesos y controles adecuados para la publicación de sitios web de la universidad, es muy posible que el webmaster hubiera cerrado la puerta a los motores de búsquedas en Internet como Google y otros más para prevenir que cierto tipo de información confidencial, como base de datos y directorios, no fueran indexados”, explica Odón.
Consejos y medidas de protección
El experto de McAfee aconseja a las instituciones:
1. Establecer una estrategia de privacidad y protección de datos que esté alineada a las necesidades de cada área del negocio.
2. Actualizar las políticas de seguridad y procedimientos enfocados en la privacidad y protección de los datos. “Muchas organizaciones ya tienen sus políticas de seguridad definidas e implementadas, apoyadas por controles que aseguran el cumplimiento de las mismas. El problema es que la gran mayoría de éstas no tiene un enfoque en la protección de la información, sino más bien en resguardar los sistemas y redes”, indica Odón.
3. Las organizaciones deben concretar proyectos relacionados al inventario y clasificación de los datos para implementar los controles necesarios que permitan la administración del comportamiento de los usuarios.
4. Enfocarse en capacitar y concientizar a los usuarios que pertenezcan a la organización y tengan alguna interacción regular con la información clasificada, como es el caso de socios de negocio a los cuales se permite el acceso a ciertos datos confidenciales.
5. Auditoría y monitoreo de programas de privacidad y cumplimiento de las políticas de seguridad con enfoque a la protección de la información. “Este último factor clave es imprescindible para mantener actualizada la plataforma de seguridad de los datos y dar cumplimiento a las regulaciones del mercado internacional”, explica el experto.