Una encuesta de McAfee, aplicada por la consultora Datamonitor a 1.400 tomadores de decisión de TI de grandes compañías a nivel mundial, reveló que el 70% de éstas había sufrido al menos una fuga de datos confidenciales durante el año 2006. Para hablar sobre esta amenaza, en el marco del Primer Congreso Internacional de Tecnologías de Información organizado por DuocUC, visitó nuestro país el investigador Eugene Schultz, Directivo de Tecnología y Seguridad de Información de High Tower Software, quien conversó con Revista Gerencia.
¿Cómo se registran en la práctica las llamadas fugas de información?
Se tiende a creer, equivocadamente, que la fuga de información tiene que ver siempre con ataques de hackers o con intenciones concertadas, sin embargo, las mayores pérdidas se registran por acciones fortuitas y sin planificación. Por ejemplo, es interesante constatar que las actividades sin mala intención de los trabajadores de las empresas generan mucha pérdida de datos, por ejemplo, cuando un empleado manda una planilla de trabajo a su correo personal para terminar un proyecto o comete un error tipográfico al enviar un e-mail, terminando en manos equivocadas información confidencial.
¿Qué medidas debe tomar una empresa para evitar este tipo de situaciones?
Primero, antes incluso de la incorporación de herramientas de seguridad, es necesario que las organizaciones se centren en la prevención y, para eso, lo más importante es la capacitación de los usuarios. De esta forma, es relevante que las empresas clasifiquen sus datos y diseñen un esquema de acceso eficiente a los mismos, basado en las necesidades del negocio. Con esto, podrán acercar a su organización el concepto de seguridad informática a nivel de cultura, entendiendo el flujo de sus datos y detectando dónde y cómo se están produciendo las posibles fugas. La búsqueda es el equilibrio, en que se proteja realmente la información relevante, pero sin instalar prácticas extremadamente rígidas, que atenten contra el crecimiento del negocio, la flexibilidad y el recurso humano.
¿Cuál es el componente de inversión a considerar?
En el contexto de la seguridad informática, sin duda el tema de la inversión es un elemento importante a considerar y en el que debe primar el valor que tiene para determinada organización los datos que se pretenden proteger, para poder llegar a una ecuación donde los sistemas de seguridad incorporados tengan verdadera consistencia con la realidad. No se trata de sobreprotegerse, sino de conocer la situación de cada empresa y asumir un proyecto de seguridad, con herramientas adecuadas y en un nivel de inversión eficiente y razonable.
Si bien la seguridad es cada vez más visible, debido al aumento de su sofisticación, y los directores de las compañías están cada vez más conscientes de su importancia; la principal amenaza sigue siendo no conocer el negocio. De esta forma, la herramienta fundamental de defensa para una empresa es conocer su realidad y moverse en línea con los atacantes, conocer los riesgos y tratar de mitigarlos.
¿Qué aspectos generales debe tomar en cuenta una empresa a la hora de abordar el tema?
Primero, que no se puede proteger todo porque los recursos son limitados, entonces, hay que invertirlos en las áreas donde hay mayor prioridad para la compañía. Segundo, es fundamental analizar el costo-beneficio asociado a la inversión, para eso, la máxima es nunca implementar seguridad sin justificar el gasto. Tercero, entender que la seguridad no debe obstaculizar el desarrollo del negocio ni los beneficios a los usuarios. Cuarto, considerar la flexibilidad y el recurso humano como soporte y mantención de la tecnología en un período de tiempo. Quinto, tomar en cuenta que no hay en el mercado una herramienta que sea 100% acertada, pero si se usa en combinación con otras tecnologías, sube el nivel de detección, ayuda a estar más consciente de las amenazas y mejora la capacidad de respuesta a ciertos incidentes.