Los expertos en TI, seguridad y cumplimiento discuten los mayores problemas que enfrentan las empresas en estos días -y qué medidas pueden tomar las organizaciones para minimizar los posibles riesgos de cumplimiento normativo y amenazas de seguridad.
Como si los departamentos de TI no tuvieran suficientes preocupaciones actualmente, también tienen que garantizar que la organización cumpla con varias normas de la industria destinadas a mantener la seguridad de los datos confidenciales de los clientes. Una tarea cada vez más difícil en el mundo descentralizado de hoy, lleno de aplicaciones móviles. Suficiente para que le dé un dolor de cabeza a un CIO o CTO.
“El cumplimiento es un tema candente en TI, y por una buena razón”, señala Andrew Hodes, director de Tecnología de INetU, un proveedor de nube y hosting admnistrado. “El incumplimiento de las normas y directrices establecidas por las normas de cumplimiento puede significar multas, sanciones y pérdida de confianza”.
Los más grandes desafíos de cumplimiento de TI
Pero mantener la organización dentro del cumplimiento de las normas puede ser difícil, especialmente teniendo más empresas que permiten que sus trabajadores traigan sus propios dispositivos (BYOD). ¿Cuáles son algunos de los mayores retos para mantener el cumplimiento? Decenas de profesionales de tecnología y expertos en cumplimiento comparten sus mejores seis respuestas.
1. Empleados. “Los empleados juegan un papel clave en la protección de los datos confidenciales de la empresa”, señala Jim Garrett, director de seguridad de la información en 3M. “Los métodos de baja tecnología, como el espionaje, la ingeniería social o de phishing son las técnicas más comunes utilizadas por los hackers contra los empleados para obtener acceso no autorizado a la información corporativa”, agrega.
“Para superar esta amenaza, es importante educar a los empleados sobre las múltiples maneras en que se puede adquirir la información a través de métodos de baja tecnología y darles herramientas que puedan utilizar, como la protección de los datos corporativos en una computadora portátil con un filtro de privacidad durante el viaje, o cómo reconocer los ataques de phishing, para mitigar el riesgo”, anota Garrett.
“Contar con políticas de seguridad al día, que sean comprensibles para los empleados fuera del ámbito de TI es crucial”, añade Scott Peeler, director general de Stroz Friedberg, que se especializa en investigaciones, inteligencia y gestión de riesgos. “Las políticas de seguridad de la información deben abarcar la creación, transmisión, transporte y retención de la información, cuándo y cómo la información puede ser desechada o eliminada de los servidores corporativos/de almacenamiento, tener acceso remoto, inalámbrico, electrónico y físico a la red corporativa, y las precauciones de seguridad a utilizar durante el viaje”.
2. Laptops. Para evitar el posible robo de datos de los trabajadores móviles, “proporcione a los empleados computadoras portátiles de viaje y cree políticas específicas de seguridad de la información para proteger la red de una ciberinfiltración”, señala Peeler. “Las laptops de viaje son totalmente capaces de ejecutar funciones vitales del negocio, pero están despojadas de información confidencial, sensible o segura, y pueden reducir el riesgo de infiltración”.
3. Dispositivos móviles. Los dispositivos móviles también suponen graves riesgos de seguridad y de cumplimiento. “Los datos regulados no están sujetos a un menor nivel de protección solo porque terminan en un dispositivo móvil”, señala Ryan Kalember, director de producto en WatchDox, un proveedor de productividad móvil segura y soluciones de colaboración.
Sin embargo, según el reciente estudio del Instituto Ponemon sobre el riesgo de los datos regulados en dispositivos móviles, la mayoría de las organizaciones “tienen débiles controles para proteger los datos regulados en dispositivos móviles… y la mayoría de los empleados, en un momento u otro, tienen que eludir o desactivar la configuración de seguridad necesarias en sus dispositivos móviles”.
Por lo tanto es fundamental que “se tomen medidas preventivas para restringir el acceso no autorizado a los datos de la empresa si un dispositivo móvil es robado o perdido”, señala Ray Paganini, CEO, de Cornerstone IT, que ofrece servicios gestionados y soporte de TI.
“Estas medidas se deben tomar así el dispositivo sea emitido por la empresa o no”, agrega. “Sin embargo, lo mejor para fines de seguridad es tener un estándar móvil de la empresa”. Su consejo:
* Habilite y proporcione herramientas para llevar a cabo un control remoto de borrado de los datos sensibles, tanto para los dispositivos como para los departamentos de TI.
* Configure los dispositivos móviles para que solo las aplicaciones autorizadas se puedan descargar y/o sean asequibles.
* Invierta en la encriptación de la transmisión y almacenamiento de datos y otras herramientas de seguridad de punto final.
* Evite el almacenamiento y la transmisión de datos a los dispositivos que carezcan de seguridad adecuada”.
4. Aplicaciones de terceros (también conocidas como sombras de TI). “El mayor problema relacionado con el cumplimiento frente a los CIO de hoy son las sombras de TI -una amenaza causada por el uso de soluciones de terceros que incluyen dispositivos y aplicaciones”, señala Orlando Scott-Cowley, evangelista de mensajería, seguridad y cumplimiento, en Mimecast, un proveedor de soluciones de gestión de correo electrónico, cumplimiento y archivo.
“Las TI corporativas se han vuelto complejas y engorrosas, por lo que los usuarios finales han empezado a utilizar sus propios servicios de terceros para hacer su trabajo, como los grandes servicios de envío de archivos”, agrega Scott-Cowley. Pero muchas veces estas aplicaciones o soluciones están fuera del control de la organización, generándole un gran dolor de cabeza al departamento de TI. “¿La mejor medicina para curar el dolor de cabeza? educar a los usuarios finales; darle a los CIO el poder controlado para evaluar constantemente los servicios con el fin de determinar su idoneidad; y desplegar soluciones en la nube de empresas modernas para resolver los problemas globales de cumplimiento”.
5. Proveedores de servicios de nube. Para asegurarse de que los datos sensibles están protegidos adecuadamente en la nube “elija un proveedor de servicios de confianza”, señala George Japak, director general de ICSA Labs, una división independiente de Verizon, y seguridad de HIPAA de Verizon.
“Los servicios en la nube presentan ventajas significativas en términos de ahorro de costos, escalabilidad, flexibilidad, etc.”. Sin embargo, para asegurarse de que el o los datos de sus clientes están debidamente protegidos y en cumplimiento de todas las normativas pertinentes, “el vendedor/proveedor de servicio debe cumplir con los requisitos reglamentarios subyacentes, si la nube está diseñada para ser HIPAA o para cumplir con las normas PCI o FISMA, por ejemplo”, agrega Japak. También verifique si los proveedores están certificados con SSAE 16.
6. PCI. “No solo va contra las regulaciones de las marcas de tarjeta si no es complaciente con la Payment Card Industry (PCI) al aceptar tarjetas de crédito/débito, pero también es una necesidad absoluta en el clima económico actual de cada vez más robos de tarjetas de pago”, señala Rob Bertke, vicepresidente senior de gestión de producto de Sage Payment Solutions. “La certificación PCI garantiza que un procesador ha pasado un robusto conjunto de mejores prácticas para asegurar la información cuando se realizan los pagos con tarjeta de crédito”.
“Como profesionales de TI, a menudo nos encontramos con el reto de crear un entorno de datos seguro que pueda ser compatible contra múltiples pruebas y evaluaciones PCI”, explica Ray Paganini, CEO, de Cornerstone IT. Para proteger los datos confidenciales de los clientes, “utilice un firewall para segmentar la información del titular del resto de la red corporativa”, sugiere. “La segmentación de red limita las partes de la red que tienen contacto con los datos confidenciales de los tarjetahabientes y, cuando está configurado correctamente, puede reducir el riesgo y los costos, y reducir el alcance de una auditoría de PCI DSS”.
– Jennifer Lonoff Schiff, CIO