La fuga de información

Independientemente del volumen de datos que maneje y del tamaño de su empresa u organización, si posee información crítica de su negocio debe resguardarla como activo intangible que es.

Por Mariana F. Berrondo Paulí * – Exclusivo para Comercio y Justicia

Ya sea que se trate de una pyme, una empresa en expansión o una gran corporación, si almacena datos en un disco externo, en la nube o ya está “enredado” en grandes volúmenes de datos y estudiando el concepto de Big Data. O si maneja todo desde un celular, su Ipad, desde una red interna o una notebook mientras toma un café aguardando su próximo vuelo.

Si posee información que considera crítica para su negocio, debe resguardarla. Para ello existen muchas buenas prácticas de seguridad internacionalmente conocidas, que se adaptan perfectamente al ámbito de aplicación y a su escenario particular.

El nivel de concienciación respecto de la problemática de la divulgación indeseada de información en la cultura organizacional es un factor clave. Percibir la magnitud de la posible amenaza por parte de la dirección y el compromiso que ésta asuma es fundamental porque de allí hacia abajo descenderán los lineamientos.

Desde luego hay que pensar en el costo-beneficio y retorno de la inversión, pero incluya en su análisis de riesgo cuánto perdería en términos económicos o reputacionales si ese activo valioso se divulgara, se perdiera o corrompiera.

Para ello, las charlas de concienciación deberían formar parte de un plan de capacitación para directivos, gerentes, mandos medios y empleados.

Decidir la seguridad limitándose exclusivamente a hardware o software es un gran error. Circunscribir la solución del problema a un equipo firewall, un antivirus y algunos parches para las aplicaciones o sistema operativo, por ejemplo, abarca una fracción pequeña del universo y deja de lado otras cuestiones que requieren su máxima atención.

Desde luego que la tecnología es importante, pero es sólo una parte. Si no, reflexionemos sobre lo siguiente: quien maneja las liquidaciones de sueldos lleva sus libros contables al día, maneja sus proyectos para los próximos años o administra justamente el hardware y software que componen sus sistemas informáticos.

Son sus recursos humanos implicados en los procesos de negocio. Y justamente es el eslabón más débil y por donde decanta el mayor porcentaje de los incidentes que se registran estadísticamente a nivel global.

Antes, durante y después de la contratación de personal o proveedores debe tomar medidas proactivas tales como políticas de contratación y terminación laboral, acuerdos de confidencialidad, normas de uso aceptable de la información, entre otras.

Un caso típico de cómo confluyen sus recursos humanos, la tecnología y la información de su negocio es el acceso del mail laboral desde un equipo de uso personal del empleado. Quizás ya esté bajo un escenario de este tipo y analizando un esquema de trabajo BYON (bring your own device o “traiga su propio dispositivo”).

Pero si no lo ha pensado, debería analizar otras alternativas de manera que pueda controlar el manejo que se realice de datos, el borrado seguro remoto en caso de pérdida o robo y evitar así fugas indeseadas sin tocar información personal del usuario. A esto, sumar políticas claras de seguridad móvil.

Por último, es importante tener presente que seguridad de la información suele ser más bien un problema cultural que técnico.

Y que aunque no llegue a comprender completamente cómo funciona, no implica que los incidentes no puedan presentarse y afectarlo negativamente.

Así que aunque muchas veces resulte complicado, hay que intentar observar no sólo el árbol, sino también el bosque, el lago, la montaña… y, por supuesto, en este complejo paisaje digital no dejar fuera de la foto la inmensa nube de Internet.

* Dirección ejecutiva. Especialista en Auditoría, Seguridad y Peritaje Informático. Arcba It Security Consulting

Artículos destacados