Reduzca el peligro de los activos digitales corporativos

En diciembre de 2014, Sony pictures, una de las más grandes corporaciones a nivel mundial, sufre un ciberataque por parte de un grupo hacker, supuestamente vinculado al régimen dictatorial de Corea del Norte. Lo que más llama la atención, de lo que se ha considerado el mayor “hackeo” de la industria del cine, es que los documentos confidenciales de la empresa no contaban con grandes medidas de seguridad y algunos de ellos se accedían sin contar con un código confidencial previo.

A modo de recomendaciones
se sugiere:

Concientizar a la alta gerencia del valor de la información, tratándosele como un activo más de la empresa. Las compañías en la que sus directivos poseen conciencia del valor de sus activos digitales cuentan con más posibilidades de implementar planes de seguridad efectivos. La razón es que los recursos necesarios para la implementación serán tratados con prioridad.

Realizar una auditoría de seguridad como punto de partida. Se puede trabajar internamente o contratar a un consultor que asista para esta actividad, considerando el ciclo vital de los datos de la empresa. ¿Cómo y dónde se recopilan?, ¿cómo se accede y quién puede acceder? y ¿cuál debe ser protegida? Por su importancia. Si la situación de la empresa lo permite, el nombramiento de un gerente de seguridad es ideal.

Asegurar la información en un entorno en constante cambio requiere de un esfuerzo focalizado. Así como de la implementación de un proceso continuo de educación en todos los niveles de la organización. Al trabajar en entornos en constante cambio, la reeducación constante sobre las mejores prácticas de seguridad es indispensable.

La información debe ponerse a la disposición usando la práctica del “mínimo privilegio”. Los datos sensibles
deben ser compartidos solo con las personas que necesitan saber de los mismos. El monitoreo de la exposición
de la compañía en las redes sociales debe formar parte de la rutina. Mantener un chequeo de la  media social digital podría advertir de fugas de información.

El análisis constante del comportamiento de la información. Los datos que manejamos tienen un comportamiento que se puede llamar “normal”, o sea la manera usual en que se utilizan, apunta Nanne. En contraposición, los cambios en esos comportamientos deberían activar alarmas preventivas, que permitan revisar si esos cambios son el nuevo “normal” o signos de posibles brechas de seguridad.

En Suiza, Hervé Falciani se roba los datos confidenciales de cientos de cuentas pertenecientes al HSBC Private Bank. Un hackeo en toda regla que ha desvelado los manejos turbios de cuentas millonarias de líderes mundiales o grandes empresarios, lo que ha llevado a la institución financiera a responder de sus movimientos a las instancias judiciales de su país. Claros casos, de que en la era de la información nadie está exento de sufrir un ataque a sus datos informáticos sensibles.

La necesidad de sentirnos seguros en las organizaciones va desde la instalación de extintores de fuego en lugares estratégicos previniendo posibles incendios, a la activación de alarmas que protegen las entradas a las áreas restringidas de trabajo. Se contrata personal de seguridad que monitorea las actividades en busca de detectar posibles anomalías.

Todas estas acciones van orientadas a proteger los activos físicos de las empresas, pero hoy en día, además de los bienes tangibles, los intangibles han tomado mucha importancia para un desenvolvimiento empresarial efectivo. Las noticias constantes de ciberataques, wiki-leaks, robo de identidad, brechas de seguridad, etc., han provocado que las empresas busquen mejores métodos para sentirse seguras.

Por esta razón consultamos con el ejecutivo de Sistemas Aplicativos, Mauricio Nanne, quien se dedica a ofrecer servicios y productos de seguridad digital. Él asevera que, “toda empresa debería considerar el valor que poseen sus activos digitales y, en concordancia con ello, tomar las acciones que sean pertinentes”.

Una buena planificación de seguridad empezaría con clasificar la información y los datos que se usan. Hacer una selección entre la información que se considera confidencial y aquella que no lo es. Establecida la información crítica se procedería a elaborar un plan de riesgos para formalizar el grado de seguridad que se quiere y se puede tener para cada tipo de información a proteger. Por último, se escogen los estándares, protocolos y procesos que mejor se adecuen a la realidad del negocio.

Según Nanne, “la alta gerencia debe definir el valor de los activos digitales para la empresa”. Al visionar la infraestructura de seguridad, debe considerar los principales actores y contar con un departamento de seguridad que realice un análisis de riesgo para normar los procesos necesarios y proteger la información. También un departamento de tecnología que ejecute la normativa en curso para el resguardo de los datos. Y, por último, un departamento de auditoría que mantenga un monitoreo de cumplimiento del plan de seguridad y que envíe retroalimentación a los responsables del mismo.

Si considera importante los valores intangibles se debe ejecutar un plan de seguridad adecuado a la situación de la empresa. El propósito final es minimizar los riesgos y las perdidas. Aún, a pesar de ello, podría llegar a ocurrir una brecha que permitiese la fuga de información. Estos eventos deben ser analizados para aprender de ellos y estar preparados a prevenir situaciones similares.Otra fuerte preocupación de los ámbitos empresariales es, si los bancos de la región están preparados para este tipo de contingencias. Los métodos que a nivel mundial se elaboran están basados en los convenios de Basilea. Estos acuerdos buscan ser una fuente confiable de conocimiento, estándares y apoyo para los profesionales. Nanne continúa diciendo que, “la generalidad de instituciones bancarias de la región centroamericana está trabajando basada en estas tecnologías de punta”. Los estándares más utilizados en el entorno financiero son el ISO 27001–2013, el Cobit y el Verizon Enterprise. Ya que las instituciones bancarias tienen altos estándares de protección, las fugas de datos se dan en su mayoría en ataques a los dispositivos privados de los usuarios y no a las entidades bancarias.

GECCA
Consultoría independiente
Ignacio Laclériga
y Martin August