Administrando las amenazas de la información confidencial

Por George Tsantes, responsable de Seguridad Informática de Ernst & Young LLP 28 de Junio 2011
Administrando las amenazas de la información confidencial

En los últimos cinco años, aumentaron las filtraciones de información confidencial en las redes corporativas debido, entre otras causas, al comportamiento malintencionado de algún empleado o un ataque cibernético de un hacker.

Cualquiera sea el motivo, se pueden prevenir controlando la conducta de los integrantes de la organización o a través de técnicas implicadas.

Controles sobre la conducta
Se implementan para desalentar toda divulgación de información que pueda perjudicar a la compañía:

Controles preventivos
Los empleados de la empresa deben comprometerse a actuar dentro del marco legal. Además, deberán estar al tanto de las medidas que tomará la organización si detecta acciones delictivas. La gestión de un reporte interno, que asegure el anonimato y la confidencialidad permitirá a la compañía investigar y responder por cualquier violación de la privacidad y la discreción.

Controles correctivos
Los reportes internos y los procedimientos deben ser comunicados a toda la organización junto a una descripción de cómo utilizarlos para así poder verificar las pruebas de imputación, previo a llevar a cabo una acción legal. Es importante que las compañías revisen caso por caso ya que cualquier información imprecisa o inexacta podría llegar a violar los derechos de privacidad de los empleados y comprometer la reputación de la empresa.

Controles técnicos
Un programa estratégico destinado a proteger la estructura informática es esencial para reforzar la política de seguridad de una empresa a largo plazo. Se podrá localizar amenazas existentes y emergentes, reducir los costos de las normas de seguridad y facilitar el manejo de los incidentes.

El primer paso es identificar la información sensible y confidencial que reside en la red o junto al resto de los socios y comprender cómo circula a lo largo de la empresa. El ejercicio de identificación y clasificación permitirá implementar los esquemas de protección más certeros y eficientes. Además, prevenir la pérdida de información permitirá identificar los riesgos y actuará como soporte para el desarrollo de un plan de perfeccionamiento que incluya las metas alcanzadas a corto plazo y recomendaciones para reducirlos a largo plazo.

Una estructura sustentable con capacidad para detectar y responder por los incidentes cibernéticos de seguridad así como la asociación con proveedores de servicios de investigación y solución en el caso de un abuso de confianza, posibilitarán reconocer y mitigar el riesgo de activos ya comprometidos o empleados que resultaron ser presos de la ingeniería informática.

Medidas tácticas
Se pueden implementar siete medidas que proporcionen la mejor plataforma para llevar a cabo un programa estratégico eficiente y obtener un mejor retorno de la inversión:

1. Identificar y clasificar la información
Un esquema de clasificación específico permitirá diseñar e implementar el control sobre todo tipo de información.

2. Manejo apropiado de los administradores locales
El personal no debe estar autorizado a manejar la información corporativa almacenada en los administradores locales mediante soportes móviles o particulares.

3. Negar el acceso de máquinas no autorizadas a la red
El control sobre el acceso a la red previene que los activos no corporativos penetren y notifica cualquier atentado contra la seguridad.

4. No permitir las filtraciones externas a través de medios móviles
Los puertos deben estar configurados para denegar la instalación de todo tipo de dispositivo móvil.

5. Configurar el modo “fallas segura”
Se deben implementar herramientas para prevenir la pérdida de la información y configurar el modo de falla segura (Fail Safe)

6. Contraseñas fuertes en las prácticas de gestión
La política de seguridad de la empresa debe incluir un refuerzo de las contraseñas y el cierre de una cuenta luego de repetidas fallas en el ingreso.

7. Revisar y reforzar los controles de acceso a la información
Las restricciones de accesos deben ser complementadas con un monitoreo que identifique actividad inusual y sospechosa por parte de quienes tienen acceso a información sensible.

Conclusiones
El robo de información por parte del personal interno es una amenaza que puede provocar secuelas a largo plazo. Los empleados deben convencerse de que la organización se dedica a erradicar las conductas poco éticas. Una vez que se gana la confianza para denunciar este tipo de comportamiento, el personal se sentirá seguro y respaldado para cooperar con la compañía. Por otro lado, destinar esfuerzos para prevenir la pérdida de información contribuye a localizar, comprender y proteger la información sensible. Un programa sólido propiciará una respuesta rápida y correcta de parte del personal en los casos en que la irrupción de eventos imprevistos amenace las operaciones de la empresa.



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar