Llegamos a ustedes gracias a:



Columnas de opinión

Cómo evitar la fuga de información

Por: Federico Pacheco, Education & Research Manager para ESET Latinoamérica

[29/12/2010] En las últimas semanas uno de los temas más resonantes en materia de Seguridad Informática fue el de la fuga de información debido a los acontecimientos suscitados por el caso Wikileaks. Estos sucesos abrieron el debate sobre la privacidad y la confidencialidad de la información y sobre cuáles son las mejores prácticas para evitar incidentes que pongan en peligro información sensible.

Si bien no es posible controlar todas las variables y mucho menos todas las acciones de las personas que integran una corporación, y por lo tanto, siempre habrá un margen de error en relación a la protección de la información; la idea es reducir ese margen al mínimo posible. Esto se logra por medio de prácticas efectivas y adecuadas en torno a la Seguridad Informática, por lo que es importante tener en cuenta las siguientes prácticas para evitar la fuga de información en entornos corporativos:
1. Conocer el valor de la propia información. Realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.
2. Concientizar y disuadir. Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.
3. Utilizar defensa en profundidad. Considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza, a fin de no centralizar las soluciones ni promover puntos únicos de falla.
4. Incluir herramientas tecnológicas. En ámbitos corporativos resulta muy importante contar con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hace que los códigos maliciosos también sean potenciales puntos de fuga de información.
5. Seguir los estándares internacionales. Alinearse con estándares internacionales de gestión de la seguridad, permite disminuir el riego de incidentes y evitar que el negocio se vea afectado por un determinado evento de filtración.
6. Mantener políticas y procedimientos claros. Relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones.
7. Procedimientos seguros de contratación y desvinculación. Tanto al momento de la contratación como en la desvinculación de una persona dentro de una organización, se produce la conexión o desconexión de una nueva pieza con el motor de la organización, por lo que deben tenerse en cuenta los métodos de acceso y registro de los usuarios en sus primeros o últimos momentos de trabajo.
8. Seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.
9. Construir un entorno de confianza. Contar con personal capacitado y responsable para la gestión y administración de información sensible.
10. Aceptar y entender la realidad. Si bien el seguir estos consejos no garantiza de forma absoluta la seguridad de la información, estas prácticas ayudan a disminuir los riesgos de pérdida de información valiosa y resaltan la importancia de tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria.
CIO, Perú