Jueves 2 de Diciembre de 2021       •      Dólar= $836,71      •      UF=$30.789,30       •      UTM=$52.631
Seguridad
de los datos en
la era Wikileaks

Por Paola Peñarrieta, Gerente
Senior de Asesoría en Riesgo y
Gestión de Ernst & Young.

ern1.jpg (6441 bytes)

Sin duda la seguridad de la información ha sido un tema desde que irrumpieron en las compañías las nuevas tecnologías. Sin embargo, en los últimos meses y luego de los diversos episodios Wikileaks, se ha convertido en un aspecto cada vez más relevante, tanto por los efectos que puede tener en la interrupción del negocio, como por el daño en la imagen que puede causar en la empresa.

De ahí que las medidas preventivas tendientes a proteger los datos de las compañías sean claves, a la vez que deben considerar, en primer lugar, la motivación de la persona para cometer estos delitos, como robo o publicación de datos.

En este sentido, diversas investigaciones indican que las razones para incurrir en delitos que afectan la seguridad informática son de distinta índole, ya sea conciencia social o el fin de obtener ganancias personales. Por ello, es importante que la implementación de controles considere dos tipos de enfoque: controles de comportamiento y controles técnicos.


ern2.jpg (10535 bytes)Implementación de
controles

El primer enfoque es utilizado generalmente para desalentar a las personas a que presenten sus quejas en público, ya que de esta manera se podría dañar la imagen de la empresa. Estos controles pueden ser de tipo preventivo o correctivo; y entre éstos se puede considerar una buena comunicación al personal en relación al compromiso que tiene la compañía con efectuar actividades éticas y de acuerdo a la ley. Asimismo, los empleados deben estar conscientes de los procedimientos que existen internamente, para escalar y reportar sospechas de acciones no éticas y fuera de la ley.

ern3.jpg (9547 bytes)Para poder contar con un plan de seguridad estable y a largo plazo los controles técnicos estratégicos permitirán enfrentar tanto las amenazas existentes como las emergentes, reducirán el costo de medidas de seguridad y facilitarán la administración de incidentes.

El primer paso para implementar estos controles es identificar cómo fluye la información de la empresa en las redes, tanto internas como de proveedores. Una identificación detallada y posterior clasificación de los datos según su criticidad dará la posibilidad de estructurar un esquema de protección más eficiente. Posteriormente, se deben realizar evaluaciones periódicas que permitan identificar las vulnerabilidades que podrían ser aprovechadas por personal interno. Estas evaluaciones deben incorporar la ejecución de pruebas tanto a nivel de aplicación como de infraestructura, lo cual posibilitará identificar vulnerabilidades y "back doors" en el entorno.

Estos cambios estratégicos son mejoras a largo plazo que pueden tomar tiempo y deben ser cuidadosamente implementadas; por lo anterior, y considerando que las empresas requieren una guía respecto de cómo dar inicio a ese plan, a continuación se detallan las siete medidas tácticas que entregarán un buen retorno a la inversión.

1. Identificar y clasificar la información: Definir una estructura adecuada y completa de la clasificación de ésta permitirá diseñar e implementar los controles apropiados según el tipo de datos. Adicionalmente, una política clara reforzará en los empleados y dueños de la información un comportamiento correcto en cuanto al manejo, mantención y transferencia de ésta.

ern4.jpg (6247 bytes)2. Adecuada administración de usuarios privilegiados: Los usuarios locales no deberían tener privilegios de administrador sobre sus laptops, PCs o teléfonos móviles. Las passwords de los administradores locales deben ser complejas y no ser utilizadas en otros computadores o servidores.

3. No permitir sistemas no autorizados en la red: El que exista un intento de acceso no autorizado a la red, puede implicar que alguna persona se ha infiltrado en la empresa y está tratando de conectarse o que un empleado está utilizando un equipo personal. Estos equipos, generalmente, no cuentan con las herramientas corporativas, como antivirus actualizados, aumentando el riesgo de que el virus se propague a toda la red.

4. No facilitar la fuga de información a través de dispositivos externos: En los computadores se deberían deshabilitar los puertos externos. Los equipos portátiles deben tener el disco duro encriptado y la empresa tener la habilidad de borrar los datos remotamente en caso de pérdida o robo.

5. Uso de herramientas de prevención de pérdida de datos (DLP): Se deben implementar herramientas de prevención de pérdida de datos y configurar en el modo "fail safe". Esta opción bloquea la comunicación cuando recibe elementos que no son fáciles de leer y los registra en una bitácora.

6. Implementar prácticas adecuadas de administración de passwords: Las políticas de la compañía deben reforzar el uso de claves de acceso complejas. Asimismo, se deben activar los atributos de seguridad que requieran el cambio periódico de la clave, largo mínimo de caracteres, uso de letras y números. Finalmente, las passwords deben ser protegidas por algoritmos criptográficos no reversibles.

7. Revisar y fortalecer las definiciones de acceso a los datos: Validar que la definición de roles y perfiles en los sistemas esté restringido sólo a personal autorizado en base a las funciones que desempeña enern5.jpg (6965 bytes) la empresa. Adicionalmente, se debe reforzar este control a través de un proceso de monitoreo que permita identificar actividades inusuales de usuarios con accesos privilegiados.

La pérdida de datos o la divulgación de información crítica, hoy en día, es una amenaza latente que puede dañar la imagen de la compañía y, en algunos casos, su habilidad de continuar en el negocio. Los empleados deben estar convencidos de que la organización está dedicada a erradicar comportamientos no éticos y que reconoce y agradece a las personas que tomaron la iniciativa de informar.

Septiembre 2011
Septiembre 2011
.......
Comentarios acerca de este artículo
No hay comentarios publicados
Entelgy, nuestras nuevas oficinas en Chile
Entelgy, dentro de su proceso de crecimiento en Chile, estrena nuevas oficinas ubicadas en Alonso de Cordova 5670.
Desayunos Tecnológicos
SERVICIOS GESTIONADOS DE IMPRESIÓN: Cubriendo las necesidades del cliente esté donde esté
INDUSTRIA TI: ¿Cuáles serán las tendencias y retos 2021?
LA TRANSFORMACIÓN DE LOS PROVEEDORES DE TI: El nuevo perfil de los integradores
Contáctenos
Dirección: José Manuel Infante 919, Of. 203
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.