La falta de procedimientos de seguridad para resguardar los activos TI de las empresas ha incrementado notoriamente la pérdida de datos.
La fuga de información es una de las razones por las que las empresas pierden más dinero, reputación y prestigio. Sólo en 2013, el 70% de las PYMES sufrió fugas de datos de modo accidental o intencional, en ambos casos pudiendo ser provocadas por parte de sus trabajadores o resultado de un ataque dirigido.
Durante 2013, se registró que a nivel mundial la fuga de datos aumentó en un 62%, lo que confirma que el ciber-crimen es cada día un mayor riesgo para los usuarios y las empresas.“El número, tamaño y alcances de los ataques informáticos crece día a día, poniendo en riesgo a las empresas, sus activos TI y en algunos casos comprometiendo información personal de los clientes”, señaló Jorge Rojas Z., Gerente de Servicios de la compañía experta en seguridad de la información NovaRed.
Los principales motivadores externos que impulsan la pérdida de datos desde una organización son los renombrados malware, los ataques vía e-mail y el phishing. Todos ellos tienen como blanco extraer información crítica y sensible para la empresa, ya sea financiera, estratégica, confidencial, entre otras, lo que puede desembocar en incalculables pérdidas de ingresos, grave daño a la reputación de la compañía y gran deterioro a la confianza de los clientes. De acuerdo a un estudio patrocinado por la firma de seguridad McAfee (ahora Intel Security), se estima que el impacto económico de la ciber-delincuencia es tan alto que puede afectar la economía nacional, incluso mundial. Cifras demuestran que los ataques cibernéticos cuestan a las empresas aproximadamente $400 millones al año a nivel mundial.
Por otro lado, desde el punto de vista interno a las organizaciones, es el descuido y/o la poca educación de los funcionarios, la principal razón de pérdida de información, los cuales con amparados en buenas intenciones no logran sopesar el riesgo que representa enviar información confidencial a correos privados, sitios en la nube y/o incluso redes sociales.
Todos estos problemas tienen solución si se ponen en marcha medidas de seguridad orientadas a la educación del personal, a aumentar las barreras de seguridad con antivirus, y a controlar el acceso a datos desde dispositivos móviles, entre otras.
Para otorgar seguridad aplicable a empresas de todo nivel, la empresa NovaRed, entrega algunos consejos para resguardar la información corporativa:
1) Identificar los riesgos de contenidos conocidos es fundamental por lo que es importante disponer de herramientas adecuadas para analizar la red, detectar riesgos y que sean capaces de encontrar todos los datos de naturaleza confidencial, ya sea en servidores, equipos estacionarios u otras ubicaciones. El motor de detección debe disponer de mecanismos de automatización que se ejecuten con regularidad, a medida que se crea nuevo contenido.
2) Educar al personal es una protección efectiva que comienza por el conocimiento y entendimiento profundo de los datos que son importantes para cada empleado. Es urgente involucrarlos desde el primer día y monitorear los tipos de datos que genera y utiliza su área, como también saber quiénes son los encargados de gestionar los distintos tipos de información.
3) Saber dónde se encuentran los datos, ya que es importante saber quién tiene acceso a todos estos sistemas y dispositivos personales, para así minimizar el riesgo de fuga. Si esta se produce, es importante tener el control absoluto, desde donde se guarda la información, hasta quien tiene acceso a ella.De esta manera es imprescindible conocer toda la documentación confidencial propia que se maneja tanto dentro como fuera de su empresa.
4) Instaurar mecanismos de alerta e implementación que envíen notificaciones a los administradores de TI y demás involucrados. Estos mecanismos pueden ir desde simples notificaciones por e-mail acerca de brechas en la privacidad, hasta herramientas más proactivas que fuercen el paso de los mensajes de correo electrónico con contenido confidencial por servidores de cifrado antes de que salgan de la empresa.
5) Focalizar controles, poniendo en práctica un flujo de trabajo para gestionar incidentes, con el objeto de asegurarse de que los datos confidenciales que provocaron el incidente estén protegidos y que únicamente pueden acceder a ellos un grupo de usuarios y administradores con autorización.
6) Optar por un enfoque basado en el monitoreo continuo y holístico, con el objetivo de obtener una administración centralizada, con el fin de aminorar riesgos, disminuirlos costos y hacer el trabajo más eficiente.
7) Controlar todos los dispositivos usados para trabajar (fijos y móviles) que se estén manejando en su empresa, proporcionándoles las medidas de seguridad necesarias para evitar cualquier ataque informático y fuga de información.
8) Utilizar herramientas tecnológicas como un buen antivirus, IRM y DLP de última generación, con el objeto de tener el control de su información decidiendo y conociendo en todo momento quién accede a sus documentos.
9) Utilizar contraseñas robustas para proteger información confidencial de su empresa, teniendo siempre en cuenta el cambio periódico de ellas.
Para proteger los datos, NovaRed recomienda comenzar por la solución más urgente para su empresa. Con este enfoque, se puede resolver un problema táctico inmediato y mantener, al mismo tiempo, una posición que le permita alcanzar sus objetivos estratégicos.
Francisco Carrasco, CIO America Latina