Ser CIO en nuestros días no es tarea fácil. Son muchas las preocupaciones que pueden hacer que no concilie el sueño, sobre todo ahora que los ciberdelincuentes llegan de todas partes para poner sus manos sobre el gran pastel de los datos. Y más, cuando un simple tropiezo de seguridad puede dar al traste con cualquier negocio.
Existen al menos cuatro pesadillas recurrentes que muchos responsables de TI sufren, aunque también hay remedios para mitigarlas con algo de esfuerzo:
Uno. ¿Dónde están mis datos?
Para Andrew Hay, CISO de DataGravity, el gran problema actual es “la falta de conocimiento de las organizaciones sobre dónde están sus datos almacenados y qué información sensible es accesible para personas que no deberían tener ese privilegio”.
Y no se trata sólo de los datos originales, sino de sus copias y de la seguridad de esos sistemas. Hay cuestiones como si los empleados están subiendo cosas a Dropbox o Google Docs cuando trabajan desde casa y si esos archivos están en sus sistemas de almacenamiento personales en lugar de en la VPN de la empresa.
Éste es un gran cambio para las empresas, si se compara con la época en la que se tuvo que decidir si se bloqueaba el acceso de los empleados a redes sociales, y la mayoría no lo hizo. Para Hay, esto no debería de ocurrir y, por el contrario, habría que imponer reglas para controlar cómo se manejan los datos para evitar que los archivos de la empresa terminen en dispositivos personales o lugares fuera del perímetro de protección de una organización.
Dos. El peligro, en casa
“Hacemos todo lo que podemos para asegurarnos de que estamos protegidos, y tenemos a salvo nuestras empresas, nuestro negocio y nuestra reputación”, asegura Tristán Woods, director de tecnología de SafeGuard World International. Sin embargo, eso no garantiza nada si los delincuentes van a por las personas. “El componente de ingeniería social es el mayor peligro, porque las personas son lo más difícil de controlar”.
Para intentar que esto no ocurra, SafeGuard World International da formación a todos sus empleados, desde el CEO hasta el último en ser contratado. “Tratamos de formar sobre cómo estar seguros en sus propias vidas, porque si se enseña a la gente cómo cuidar su identidad online y reputación personal fuera del trabajo, se transferirá luego a su sitio de trabajo”, dice.
Tres. Los ataques informáticos
Nadie quiere ser el próximo destino de un gran ataque, y ésa es la gran preocupación para Joe Magrady, CIO de Vertafore.
Eso significa invertir en muchos aspectos como el cifrado de extremo a extremo “en todas las partes de la cadena de valor”, sostiene el directivo. También son importantes los métodos de protección tradicional como sistemas antivirus, firewalls, que deben estar actualizados, y la monitorización.
Esta última cuestión es clave, asegura Magrady, porque “no se trata de si me atacarán, sino de cuándo”. Por eso, su equipo de seguridad tiene que estar muy alerta para reaccionar de inmediato. Para ello, es importante la capacidad analítica para correlacionar las cosas, filtrar el ruido y obtener un análisis temprano”, detalla.
Cuatro. Datos que se pierden cuando un empleado deja la compañía
¿Qué ocurre cuando el talento se va? Los datos podrían salir con él y más si se incorpora a la competencia.
“Es un reto muy grande”, reconoce Rajesh Ram, co-fundador y director de atención al cliente de Egnyte. Lo ideal sería contar con una estructura en la empresa que fuera capaz de saber en qué están trabajando todos sus empleados, analizar quién puede acceder a qué cosas y quién no. También es importante poder borrar en remoto cualquier PC o teléfono corporativo. Pero, en todo caso, se trata de un problema difícil de resolver.
