La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas corporaciones, como consecuencia de su negligencia en cuanto a la seguridad.
“Las empresas tienen que proteger la información misma, no sólo los laptops o la red”, subraya Chng al respecto. “Deben centrarse en la información, sin limitarse al hardware o software, porque éstos recursos son meros instrumentos para proteger los datos corporativos”.
Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “El cómputo de nube presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas para mantener la continuidad del negocio”, explica.
La conformidad no es suficiente
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, argumentando que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
El hecho de que la conformidad con la legislación de protección de datos no es suficiente queda demostrado por hechos la brecha padecida por Heartland Payment Systems, que sufrió la fuga de la información contenida en 130 millones de archivos de contactos de sus clientes pese a cumplir las normas de seguridad establecidas.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: administración proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costos para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
