Más vale prevenir… la pérdida de datos
Email
| 
¿Desea imprimir?
Regístrese ahora
Los nuevos canales de comunicación vuelven ridículamente fácil que los empleados pierdan datos de la empresa. Los profesionales de la seguridad lo entienden y se dan cuenta de que está en camino un cambio de paradigma, desde protección de punto final y protección de redes, hasta salvaguardar la información misma.
Como lo decimos en nuestro Informe de InformationWeek Analytics, “Intolerancia del riesgo: defensa en profundidad y auge de la prevención de la pérdida de datos”, el arte de las IT es mantener felices a cuanta gente puedan. Los trabajadores del conocimiento necesitan acceso a sus datos en todo momento, en la plataforma de su elección, usando su combinación de herramientas y aplicaciones preferida. El CEO debe garantizar que la empresa no va a ser un paradigma de pérdida de datos, pues ello no dejaría de afectar la productividad. Los auditores desean pruebas de que los datos sensibles son accesados sólo por usuarios autorizados y el CIO quiere una aspirina porque se acerca otra temporada de restricciones presupuestarias. ¿Y el jefe de Finanzas? Él no mira otra cosa que el ROI.
Los nuevos sistemas de prevención de pérdida de datos (PPD) pueden cumplir todos estos requerimientos.
La tecnología, al rescate.
Un informe de la revista hermana InformationWeek trata sobre los retos que enfrentan los primeros adoptantes, dados a conocer por nuestra actual Rolling Review sobre Prevención de la pérdida de datos (PPD). También planteamos nuestro plan de batalla, con todo y herramientas, tecnologías y mejores prácticas, que impedirán que los activos informativos se escurran entre los dedos.
Quizá el impedimento más importante en este momento es obtener financiamiento. Los productos de PPD son costosos, pero también lo es cualquier incidente de pérdida de datos. Por fortuna para los grupos de seguridad, el cumplimiento de normas es algo en lo que los fabricantes de PPD siempre están concentrados. Como aprendimos de nuestra “Encuesta sobre prioridades de seguridad entre los ejecutivos”, de InformationWeek Analytics, a 326 profesionales de tecnología del negocio, cuando se les preguntó acerca de los factores que más influyen en los programas corporativos de seguridad de la información, los directores y ejecutivos IT, por igual, calificaron el cumplimiento de normas de la industria y del gobierno como la prioridad más importante.
Nuestra postura
Las industrias con un agresivo crecimiento compartirán una cosa: un catalizador. ¿Recuerdan cuando el petróleo alcanzó los $140 dólares el barril en el verano de 2008 ó cuando el precio del gas se disparó más allá de la barrera mágica de los $4 dólares el galón? El descontento subsiguiente prendió un renovado llamado en pro de la preservación de la energía y el desarrollo de energías alternativas. En el caso de la PPD, el catalizador es claramente el ambiente regulatorio insoportablemente complejo y siempre cambiante en el que todos estamos. La financiación se ha de ajustar a las regulaciones y no son sólo las compañías que cotizan en Bolsa, sino también los hospitales y las tiendas, los que se tienen que preocupar por cumplir con las estrictas normas sobre privacidad de los datos. Cada vez más, el propietario de una pequeña pizzería en Boston o el bibliotecario de San Francisco requieren prestar atención a las leyes sobre privacidad que impone el gobierno.
Con mucha frecuencia, según nuestra encuesta sobre PPD, la necesidad de facilitar y probar que se cumplen las normas sobre privacidad de los datos y otros mandatos del ramo es un catalizador en la compra de un paquete de PPD empresarial, junto con la evitación de riesgos. Sólo 11% de los interrogados dice que las sanciones por incumplimiento no justifican el costo de comprar PPD, mientras que 14% cree que no están sujetos a regulación alguna.
La pesadilla
Una vez que está asegurado el financiamiento, el siguiente reto que enfrentan las empresas es embonar un conjunto de requisitos regulatorios, amplios y a menudo vagos, con las características específicas, productos y suites de PPD. Un ejemplo que viene al caso es la nueva Ley sobre Privacidad de los Datos del estado de Massachusetts, que los abogados conocen como 201 CMR 17.00. Esta norma relativamente nueva se considera la ley sobre privacidad de mayor alcance entre las impuestas por un gobierno en todo el país.
Si bien esta legislación es una victoria para los defensores de la protección de los consumidores, para las IT es una pesadilla absoluta. ¿Por qué? Esas normas fueron concebidas por legisladores que en su mayoría no tienen idea alguna de lo difícil y costoso que es llevar a cabo las miríadas de vagos requisitos establecidos en la ley, y probablemente, si tenían alguna idea al respecto, no les importó. La fecha de publicación de la ley se ha pospuesto dos veces y actualmente está previsto que entre en vigor el 1° de enero de 2010. Estas postergaciones son resultado de rechazos de parte de instancias del sector privado, confundidos sobre cómo enfocar el cumplimiento y preocupados por el costo.
A pesar de las quejas, cabe esperar que más estados adopten leyes similares. Existe también una discusión sobre un proyecto de ley de privacidad a nivel nacional. Los legisladores están escuchando el griterío de la gente sobre que el robo de identidad y los fraudes con las tarjetas de crédito son problemas enormes que deben ser solucionados. Están hartos de compañías que, según le parece al público, manejan la información privada de una manera precipitada y descuidada.
¡Detengan esos datos!
Como era de esperar, cuando preguntamos a los encuestados qué exactamente es lo que más les preocupa proteger, la abrumadora mayoría citó el tipo de información cuya pérdida puede significar una multa, como los números de las tarjetas de crédito y de la Seguridad Social. También solicitamos a los interrogados que establecieran una lista de las siete capacidades de los productos de PPD, de la más a la menos importante. Dado que el e-mail es de suma preocupación como vector de filtraciones, no nos sorprendió ver que la seguridad de los contenidos, definida como la capacidad de escanear los e-mails y sus anexos para averiguar si su contenido viola las políticas y actuar si es necesario, calificaba como la número uno.
¿Significa esto que los centros de datos del mundo entero tienen que comenzar a implementar escuchas telefónicas, al estilo de la policía, en todas las comunicaciones telefónicas? Desde luego que no, pero en la medida en que la tecnología permita que las empresas manejen su exposición a filtraciones y minimicen el riesgo de un pleito judicial, se puede estar seguro de que la política de seguridad consistente en productos de PPD en la red continuará recabando popularidad.
Las cuestiones más importantes que entonces se plantean son: ¿cuál es la mejor manera de justificar en costos la PPD, en un periodo de presupuestos estrictos? y ¿cuál es la mejor manera de implementar tal protección en el gateway del e-mail, para no interrumpir operaciones con miles de falsas alarmas?
En el conjunto de nuestro informe tratamos acerca de las maneras de minimizar las llamadas al help desk. En términos de ROI, la posibilidad de proceder al descubrimiento de los datos (revisar las fuentes de los datos, como quiénes comparten archivos, bases de datos de e-mail y discos duros de punto final para obtener información considerada vital para la seguridad de la empresa y de los clientes) es una bendición para los departamentos IT con fuerte necesidad de seguridad debido a montones de solicitudes de e-discovery y por una normatividad estricta.
Como sea que uno organice su presupuesto, aquellas empresas que ahora establezcan los cimientos para una mayor intervención gubernamental irán a la cabeza de la carrera. Nuestra estrategia en PPD, desarrollada mientras trabajábamos en los sistemas de PPD para la Rolling Review de InformationWeek (cuatro probados y dos en prueba), puede ayudar.
Hemos averiguado que los programas de PPD exitosos presentan unos cuantos rasgos comunes: pueden ser aplicables a amplia gama de disciplinas, gozan del apoyo de la alta gerencia y emplean no sólo tecnología, sino firmes políticas y procedimientos de uso que son practicables, entendibles y aceptadas por todas las partes. Un enfoque polifacético en protección de sistemas y datos clave vinculará un amplio número de tecnologías que abarcarán un vasto espectro.
Randy George tiene 13 años de experiencia en IT empresariales como analista senior de sistemas e ingeniero de redes.
