Sin duda la seguridad de la información ha sido un tema desde que irrumpieron en las compañías las nuevas tecnologías. Sin embargo, en los últimos meses y luego de los diversos episodios Wikileaks, se ha convertido en un aspecto cada vez más relevante, tanto por los efectos que puede tener en la interrupción del negocio, como por el daño en la imagen que puede causar en la empresa.
De ahí que las medidas preventivas tendientes a proteger los datos de las compañías sean claves, a la vez que deben considerar, en primer lugar, la motivación de la persona para cometer estos delitos, como robo o publicación de datos.
En este sentido, diversas investigaciones indican que las razones para incurrir en delitos que afectan la seguridad informática son de distinta índole, ya sea conciencia social o el fin de obtener ganancias personales. Por ello, es importante que la implementación de controles considere dos tipos de enfoque: controles de comportamiento y controles técnicos.
Implementación de
controles
El primer enfoque es utilizado generalmente para desalentar a las personas a que presenten sus quejas en público, ya que de esta manera se podría dañar la imagen de la empresa. Estos controles pueden ser de tipo preventivo o correctivo; y entre éstos se puede considerar una buena comunicación al personal en relación al compromiso que tiene la compañía con efectuar actividades éticas y de acuerdo a la ley. Asimismo, los empleados deben estar conscientes de los procedimientos que existen internamente, para escalar y reportar sospechas de acciones no éticas y fuera de la ley.
Para poder contar con un plan de seguridad estable y a largo plazo los controles técnicos estratégicos permitirán enfrentar tanto las amenazas existentes como las emergentes, reducirán el costo de medidas de seguridad y facilitarán la administración de incidentes.
El primer paso para implementar estos controles es identificar cómo fluye la información de la empresa en las redes, tanto internas como de proveedores. Una identificación detallada y posterior clasificación de los datos según su criticidad dará la posibilidad de estructurar un esquema de protección más eficiente. Posteriormente, se deben realizar evaluaciones periódicas que permitan identificar las vulnerabilidades que podrían ser aprovechadas por personal interno. Estas evaluaciones deben incorporar la ejecución de pruebas tanto a nivel de aplicación como de infraestructura, lo cual posibilitará identificar vulnerabilidades y “back doors” en el entorno.
Estos cambios estratégicos son mejoras a largo plazo que pueden tomar tiempo y deben ser cuidadosamente implementadas; por lo anterior, y considerando que las empresas requieren una guía respecto de cómo dar inicio a ese plan, a continuación se detallan las siete medidas tácticas que entregarán un buen retorno a la inversión.
1. Identificar y clasificar la información: Definir una estructura adecuada y completa de la clasificación de ésta permitirá diseñar e implementar los controles apropiados según el tipo de datos. Adicionalmente, una política clara reforzará en los empleados y dueños de la información un comportamiento correcto en cuanto al manejo, mantención y transferencia de ésta.
2. Adecuada administración de usuarios privilegiados: Los usuarios locales no deberían tener privilegios de administrador sobre sus laptops, PCs o teléfonos móviles. Las passwords de los administradores locales deben ser complejas y no ser utilizadas en otros computadores o servidores.
3. No permitir sistemas no autorizados en la red: El que exista un intento de acceso no autorizado a la red, puede implicar que alguna persona se ha infiltrado en la empresa y está tratando de conectarse o que un empleado está utilizando un equipo personal. Estos equipos, generalmente, no cuentan con las herramientas corporativas, como antivirus actualizados, aumentando el riesgo de que el virus se propague a toda la red.
4. No facilitar la fuga de información a través de dispositivos externos: En los computadores se deberían deshabilitar los puertos externos. Los equipos portátiles deben tener el disco duro encriptado y la empresa tener la habilidad de borrar los datos remotamente en caso de pérdida o robo.
5. Uso de herramientas de prevención de pérdida de datos (DLP): Se deben implementar herramientas de prevención de pérdida de datos y configurar en el modo “fail safe”. Esta opción bloquea la comunicación cuando recibe elementos que no son fáciles de leer y los registra en una bitácora.
6. Implementar prácticas adecuadas de administración de passwords: Las políticas de la compañía deben reforzar el uso de claves de acceso complejas. Asimismo, se deben activar los atributos de seguridad que requieran el cambio periódico de la clave, largo mínimo de caracteres, uso de letras y números. Finalmente, las passwords deben ser protegidas por algoritmos criptográficos no reversibles.
7. Revisar y fortalecer las definiciones de acceso a los datos: Validar que la definición de roles y perfiles en los sistemas esté restringido sólo a personal autorizado en base a las funciones que desempeña en la empresa. Adicionalmente, se debe reforzar este control a través de un proceso de monitoreo que permita identificar actividades inusuales de usuarios con accesos privilegiados.
La pérdida de datos o la divulgación de información crítica, hoy en día, es una amenaza latente que puede dañar la imagen de la compañía y, en algunos casos, su habilidad de continuar en el negocio. Los empleados deben estar convencidos de que la organización está dedicada a erradicar comportamientos no éticos y que reconoce y agradece a las personas que tomaron la iniciativa de informar.