La prevención de pérdida de datos debe ser una estrategia que además de contar con soluciones tecnológicas, incluya la culturización y concienciación de los usuarios, coincidieron responsables del área de tecnologías de la información (TI) de distintas industrias y el proveedor de seguridad Symantec, en la mesa redonda “Prevención de Pérdida de Datos” organizada por CIO México.
La movilidad y la colaboración son características que, si bien han permitido a las empresas optimizar procesos, aumentar la productividad y ser más competitivas, también han generado mayores retos en materia de seguridad al diversificar las fuentes de acceso y origen de la información. En este contexto, los datos se han vuelto desestructurados, lo que implica mayores riesgos para las empresas, por esto, afirmó Elis Martínez, especialista en ventas de DLP para Symantec México y el Norte de América Latina, se ha pasado de la seguridad perimetral a la protección de datos e información.
Asimismo, explicó que hay tres principales fuentes de la fuga de información: crimen organizado-ataques maliciosos, internos bien intencionados e internos malintencionados.
“El crimen organizado hoy en día realiza ataques más complejos y específicos. Los internos bien intencionados podemos ser cualquiera de nosotros que tenemos acceso a la información y que dejamos expuesta o podemos llevarla en un USB. Los mal intencionados son los peligros más grandes; puede ser un ex empleado que se lleva consigo información o un empleado molesto”, señaló.
De acuerdo con Symantec, en Latinoamérica, uno de cada 400 correos electrónicos que salen de las empresas es con información confidencial (uno de cada 250, en México), uno de cada 50 archivos de red está erróneamente expuesto, cuatro de cinco organizaciones pierden información en laptops y una de cada dos organizaciones pierde información en USB.
Para prevenir la fuga de información, la firma de seguridad propone un modelo que incluye la proactiva protección de la información, automatización de la verificación de políticas y procesos de TI, identificación de malos comportamientos en tiempo real, parar ataques maliciosos en el momento, prevenir la fuga de información y la integración de operaciones de seguridad.
“Toda solución de pevención de pérdida de datos (DLP, por sus siglas en inglés) debe al menos responder cuál es y dónde está la información clasificada, quién y cómo la utilizan, y cómo protegerla”, señaló el especialista. Y, agregó que esta solución crea políticas a través de plantillas personalizadas, descubre, monitorea, protege y genera reportes y remediación para reducir los riesgos.
Demandan CIO atención continua
Durante la mesa de discusión, Felipe Villegas, CIO de DHL Express, demandó al proveedor de seguridad “dejen atrás las campañas para escandalizarnos sobre las amenazas y no presenten modelos tan generales. Ayúdenos a ser más puntuales y distinguir con claridad qué se puede controlar, qué no y a qué vale la pena enfocarse”.
Por su parte, José Luis Cisneros, director de Sistemas de OfficeMax, sugirió crear un paquete de soluciones de seguridad que abarque desde los servidores hasta los dispositivos móviles, considerando la rápida evolución de la tecnología.
Luis Efrén Ramírez, director general adjunto de Tecnología de Banca Mifel, sugirió ayudarles a “conocer el método que se debe seguir para ir amalgamando el tema de la protección con la cultura organizacional, y manejar la información confidencial sistemáticamente en una organización”.
Al señalar que las amenazas que más pueden afectar en México son las que generan mala reputación y hacen que las empresas dejen de hacer negocio, Efraín Baldenebro, oficial de Seguridad de la Información de la Bolsa Mexicana de Valores, mencionó que es importante hacer un análisis de riesgo y evaluar el impacto de las amenazas por sector, para así implementar una solución ad hoc.
En su oportunidad, Luis Rubí Patlán, subdirector de Mejora de Procesos y TI de Centro Médico ABC, opinó: “El tema de seguridad no es sólo de los CIO, sino que se debe trabajar junto con otras áreas, porque la fuga de información puede suceder en cualquier momento. Hay que incluir la parte cultural, no sólo a los temas electrónico, tecnológico y de gobernabilidad”.
Lucino González, director de Tecnologías y Servicios de Información de Grupo Papelero Scribe, coincidió en que los proveedores de seguridad deben empezar a trabajar con sus clientes en cosas más puntuales. Asimismo, dijo que en las organizaciones debe existir un trabajo en paralelo de culturización e implementación de infraestructura y herramientas tecnológicas.
En representación de la industria de TI, la mesa redonda contó con la presencia de Emilio Milán de la Asociación Mexicana de la Industria de Tecnologías de Información (AMITI), quien recalcó que la seguridad empresarial implica procesos multidisciplinarios que tiene que ver con toda la estructura organizacional. En materia de seguridad física, destacó que viene la ola de reconocimiento de iris en movimiento, que dejará atrás los controles biométricos por huella digital; asimismo, pronto estarán disponibles elementos que se conecten en la laptop, como los USB, que funcionarán como la clave para prenderla y acceder a cierta información.
Finalmente, Juan Portilla, director general de Symantec México, se comprometió a atender las necesidades específicas por industria, así como las preocupaciones recientes que son la seguridad y administración de riesgos en torno a los nuevos dispositivos móviles y sistemas operativos.
