Sebastián Brenner.
La seguridad de la información siempre está en riesgo, y puede tener impacto no solo para las compañías, sino para las personas y, en algunos casos, impacto para los gobiernos. Por esto, es incorrecto creer que la fuga de datos ocurre solo en las empresas que tienen información confidencial o polémica para el mundo. La gravedad de las invasiones va más allá del volumen de los datos robados. Las noticias alrededor de pérdidas de información y robo de identidades siempre estarán apareciendo.
Más que eso. El robo de información confidencial puede suceder en cualquier empresa, grande o pequeña. El problema no es la cantidad: en lo que mayormente se enfocan los ataques, en las compañías que son víctimas, es el tipo de información, desde datos de identidades, documentos, passwords, propiedad intelectual, etc.
Solo el año pasado, más de 500 millones de datos personales fueron robados o perdidos, según el Internet Security Threat Report 2016 (ISTR 2016), estudio anual de Symantec. También en 2015, Symantec detectó que el 46% de las violaciones de datos fue causado por harckers, mientras que el 22% correspondió a pérdidas accidentales, el 21% se debe a dispositivos perdidos o robados y el 10% de los casos procedía de “insiders” (empleados internos).
Educar, concientizar y prevenir
Lo preocupante no es la confianza hacia los empleados, pero sí la falta de conocimiento acerca de la importancia de la confidencialidad. Como empresa es vital conocer cuál es la información confidencial, quién debe usarla y cómo. Más de la mitad de las fugas causadas por “insiders” no era mal intencionada. El caso más común es el de empleados que envían datos corporativos a su correo electrónico personal, con la idea de seguir trabajando desde su casa.
De esta manera, recomiendo tres medidas que debe tomar para evitar este tipo de problema en su empresa:
• Eduque a sus empleados, es decir, hágales saber que tomar información confidencial no es correcto.
• Haga que los empleados sean conscientes de que la política de violación se hará cumplir y que el robo de información de la compañía tendrá consecuencias negativas para ellos y ante sus futuros empleadores.
• Y, por último, implemente la tecnología de prevención de pérdida de datos para notificar a los gerentes y empleados, en tiempo real, cuando una información confidencial esté siendo enviada, copiada de forma inapropiada o erróneamente expuesta.
Adicionalmente, seguiremos viendo este año las vulnerabilidades del tipo zero-day, aquellas desconocidas por parte de los fabricantes. El uso de las mismas es una de las herramientas más comunes en los ataques dirigidos. Entre 2014 y 2015 creció en un 125% la proporción de vulnerabilidades de día 0 encontradas. Y esto nos sirve como una nueva alerta sobre lo que ya conocemos.
