Seguramente Sony no quería ser hackeada en repetidas ocasiones hasta que finalmente perdió datos de sus usuarios que incluía información de contraseñas, cerca de 75 mil códigos para descargar música y 3.5 millones de cupones para música.
Tampoco Mitsubishi, uno de los principales proveedores de servicios y productos para el gobierno estadounidense, esperaba recibir un ataque que comprometiera la información del cliente gubernamental para el cual estaba trabajando. Pero ambas empresas –así como muchas otras no tan reconocidas internacionalmente– fueron víctimas de ataques cibernéticos.
Como consecuencia, estas compañías han perdido la confianza de sus clientes, han visto afectada su reputación y sus ingresos, además, han tenido que desembolsar grandes cantidades de dinero en esfuerzos de remediación y pago de penalizaciones.
Debido a lo anterior, el tema de prevención de pérdida de datos es una gran preocupación para las empresas. Ya se trate de un hecho malintencionado o bien de un error involuntario, la pérdida de información reduce el valor de marca de la empresa, disminuye el precio de sus acciones y daña la reputación y prestigio de toda la compañía.
Las consecuencias de violaciones a normas y las fugas de datos pueden ser costosas. Según sea el incidente, hay costos directos de multas y notificaciones de fugas, así como costos indirectos como manejo de crisis, daño a la marca, frecuencia de auditorías de cumplimiento, inversiones futuras en soluciones y procesos para evitar repetición de incidentes, pérdida de la confianza pública a corto y potencialmente a largo plazo y sus implicaciones; es decir, negocios perdidos.
En la búsqueda de una solución al problema de las pérdidas de datos, las organizaciones deben poner en marcha determinadas prácticas de protección de datos, con el fin de lograr una fórmula adecuada para cada necesidad concreta.
Medios de fuga
Las comunicaciones electrónicas y los datos en circulación son el factor de pérdida de información más importante en la empresa actual. Debido a la variedad de formas de comunicación, simples y accesibles, los datos que antes estaban protegidos al estar centralizados en redes cerradas pueden propagarse rápida y fácilmente a destinos irresponsables y a gente con tan sólo unos cuantos clics.
Además, los empleados que hacen actividades personales en la web a través de redes de negocios y conectan sus dispositivos personales a estas mismas redes, añaden mayor riesgo a la exposición de datos delicados. De acuerdo con una encuesta a tomadores de decisiones de TI realizada por Frost & Sullivan, estas son ocurrencias comunes e incontrolables en empresas de 100 a 500 empleados. Por ejemplo, un empleado puede enviar un documento confidencial a través de un sitio a través del cual se comparten archivos a su computadora de casa. Una vez en la computadora del hogar, todos los miembros de la casa tienen acceso potencial a ese mismo documento y pueden compartirlo intencionalmente o por equivocación con cualquiera. Aunque la intención del empleado fue buena, los datos se perdieron y no hay registro oficial de su exposición.
La mayoría de las comunicaciones electrónicas que salen de una empresa, como correos y formularios o transmisión de datos, entre otros, muchas veces van sin control ni supervisión. Este hecho supone un riesgo en el que la información confidencial puede caer en manos inadecuadas. Por ello, los responsables de la toma de decisiones deben implementar procesos y soluciones que les apoyen en el análisis para garantizar la protección contra la pérdida de datos.
Consideraciones para la protección de datos
Asegurar los datos durante su ciclo de vida (datos en movimiento, datos en uso y datos en reposo) es importante. Esto implica considerar medidas de prevención, control y monitoreo de la información que reside no solamente en los servidores de la empresa, sino también en los equipos de cómputo de los empleados, incluyendo el seguimiento de lo que se hace con esos datos: dónde se almacenan, quién los utiliza, qué hace con ellos, si son retransmitidos electrónicamente con qué finalidad y a quién se le envían.
De acuerdo con un informe de Iron Port/Cisco sobre medidas prácticas para prevenir la pérdida de datos, es recomendable llevar a cabo una serie de medidas para evitar las fugas de datos, obligar al cumplimiento de las normativas y proteger su valor de marca y prestigio. A continuación se enumeran una serie de mejores prácticas internacionales cuyo objetivo es ayudar a las empresas a aumentar su capacidad de asegurar los datos confidenciales sobre los clientes, proteger los ingresos, asegurar la lealtad de los clientes y cumplir las reglamentaciones gubernamentales.
1. Comprender qué información es más confidencial para la empresa.
2. Saber dónde reside esta información confidencial.
3. Comprender los riesgos a los que está expuesta dicha información.
a. Dedicar tiempo a definir las necesidades de protección frente al tipo de datos, estableciendo las directivas que han de implantarse para controlar y restringir el modo en que los datos pueden compartirse.
4. Seleccionar los controles apropiados en función de políticas, riesgos y el lugar donde reside la información confidencial.
a. Dar prioridad máxima a prevenir la fuga de datos, para facilitar la adopción y la puesta en marcha de soluciones orientadas a eliminar las fugas.
b. Garantizar una cobertura eficaz y total, a través de la supervisión y prevención de múltiples protocolos, análisis de todo tipo de archivos y documentos adjuntos, así como el bloqueo selectivo y/o cuarentena de mensajes, incluyendo el cumplimiento automático sobre el cifrado de datos.
c. Se recomienda elegir soluciones capaces de gestionar los volúmenes siempre crecientes de mensajes, además de ser válidas para los requisitos de ancho de banda del futuro. Es clave mejorar la flexibilidad en la gestión y que los recursos disponibles puedan aprovechar al máximo la colaboración entre los dispositivos y el uso compartido de los datos
5. Administrar la seguridad de manera centralizada.
6. Realizar auditorías de seguridad para mejorar constantemente.