Artículos

Ciclo de prevención. Ruta a la seguridad

admin - 4 octubre, 2012

Ing. Sergio R. Solís Garza
MBA, CISA, CGEIT, CRISC
Gerente de Asesoría
Ernst & Young
sergio.solis@mx.ey.com

Para comenzar quiero preguntarle si ha escuchado usted comentarios o “historias” similares a las siguientes:

  • “Nuestra información está protegida, llevamos años sin haber sufrido un ataque a nuestros sistemas, y nuestro departamento de TI/Seguridad está listo para responder a cualquier incidente.”
  • “Contamos con excelentes sistemas de seguridad, por lo cual nuestra información está perfectamente protegida en nuestros centros de datos.”
  • “Ya estamos cuidando la privacidad de la información, estamos cumpliendo con la Ley de Privacidad de Datos; emitimos nuestro aviso de privacidad y contamos con una oficina para atender los requerimientos.”

Si no ha escuchado algo parecido, seguramente es porque trabaja en una organización consciente de los riesgos que enfrenta, o cree no estar involucrado en el aseguramiento de la información de su empresa.
Antes de adentrarnos en el tema es importante acordar algunos puntos:

  • Todos en una organización estamos involucrados (en mayor o menor medida) en el aseguramiento de la información de su empresa.
  • La seguridad de la información no es responsabilidad única del área de sistemas (entiéndase Tecnología y/o Seguridad de Información).
  • El hecho de no haber identificado un robo de información, no quiere decir que la información nunca haya sido robada.
  • Cuidar la privacidad de la información es mucho más que cumplir con cláusulas de alguna ley, estándar o marco de referencia.
  • Contar con los mejores sistemas de seguridad de información en los centros de datos, no quiere decir que la información esté bien asegurada.

Continuando con lo dicho en el último punto, le hago unas preguntas de reflexión:

  • ¿Qué sucede, entonces, con toda la información que se encuentra en los equipos de cómputo personales (y más aún si son portátiles)?
  • ¿Cómo se protege la información en los dispositivos móviles (teléfonos inteligentes, tabletas, etcétera)?
  • ¿Está protegida la información que sale hacia Internet (correo electrónico, redes sociales, HTTP, etcétera)?
  • ¿Los usuarios pueden llevarse información en medios móviles (discos externos, memorias USB, CD, etcétera?

La intensión no es “asustarlo” para que tenga el sueño intranquilo y/o tire sus planes actuales a la basura. El mensaje no es tan complicado, pues lo primero que se debe asimilar es que la información jamás estará libre de todo riesgo, pues siempre quedará una probabilidad de que alguien pueda llevársela; lo que se debe hacer es entender el nivel de riesgo al que está expuesta y diseñar un plan que sea acorde a la situación de cada organización.
Se preguntará entonces: ¿Cuál es el primer paso para prevenir la fuga de datos? La ruta a tomar, sin duda, requiere más que un par de pasos, pero tenga cuidado, pues en su camino encontrará algunos que casi le firmen con sangre, que los dispositivos, aplicaciones, servicios, etcétera, que ellos ofrecen son la mejor solución para protegerlo contra la fuga de datos de su organización; sin embargo, lo que nunca le dirán es que esas maravillosas soluciones no funcionan si antes no se hizo el trabajo interno en la organización.
Los pasos a tomar, podrían incluir una ruta similar a la que se muestra en la siguiente figura:

A continuación explico, con brevedad, los pasos sugeridos para contar con una estrategia adecuada de prevención de fuga de datos:

  1. Realizar un análisis de riesgos. Antes de elegir qué va a proteger y cómo lo hará, es importante realizar un análisis objetivo de los riesgos que enfrenta su información. Este ejercicio debe tomar en cuenta todos los activos de información, y se sugiere que participen todos los involucrados en su tratamiento, a fin de que se expongan los posibles riesgos por enfrentar. Como resultado, usted tendrá una lista de activos críticos de información y sus riesgos relacionados.
  2. Definir/actualizar la política de clasificación de la información. Una vez obtenido lo anterior y antes de definir un plan específico, es importante actualizar (si es que ya existe), una política de clasificación de la información que indique el nivel de protección que se deberá dar a los activos de información, con base en criterios objetivos y claros, acordados con los dueños de la información. Asimismo, deberán acordarse los requerimientos mínimos para el tratamiento durante el ciclo de vida de la información (obtención, uso, divulgación y almacenamiento).
  3. Establecer un plan de prevención de fuga de información. Ahora que usted ya sabe qué riesgos enfrenta su información y tiene una definición de cómo tratarla, es momento de planear. Deberá identificar alternativas para administrar los riesgos principales, de acuerdo con lo establecido en los pasos previos, definiendo estrategias para reducir, mitigar y/o transferir los riesgos de la información; realice análisis de costo/beneficio y haga una definición formal de aquellos riesgos que se mantendrán.
  4. Concienciar, concienciar y volver a concienciar al personal. Los pasos 4 y 5 se podrán llevar en paralelo. Si usted no lo ha escuchado antes, es bueno que lo sepa (o al menos que lo recuerde): “el eslabón más débil en la cadena de la seguridad es el humano”. Sí, las personas olvidamos fácil; por ello, dentro del plan se deben incluir mecanismos de concienciación que incluyan todos los niveles de la organización.
  5. Definir e implantar los controles adecuados. Ahora sí, es momento de elegir las mejores tecnologías de prevención de fuga de datos, ¿cuáles son estas?, la respuesta es clara: las mejores tecnologías son las que se adaptan mejor a su plan. Existen mecanismos que pueden llegar a niveles complejos de análisis, impidiendo que suceda), el enviar, extraer, imprimir, leer, cifrar, eliminar o usar algún otro modo de información que usted haya clasificado en sus herramientas. Asimismo, existen mecanismos de seguridad que pueden ayudarle a identificar varios de los posibles ataques externos y/o internos de algún hacker.
  6. Evaluar la eficacia de sus controles. Existe una regla que a nadie le agrada, pero que a todos se nos aplica: “Si algo no ha sido probado, lo más probable es que vaya a fallar”. Es crucial que pruebe los controles implantados, que identifique las fallas existentes en su diseño y/u operación, y que realice los ajustes correspondientes a fin de que los controles funcionen.
  7. Repetir, periódicamente, los pasos anteriores. La tecnología evoluciona, y de igual forma evolucionan las amenazas, intentando adelantarse siempre a los mecanismos de seguridad. Debido a lo anterior y a otros factores similares, es muy importante que usted entienda que proteger la información debe ser un proceso organizacional y no un proyecto que tiene principio y fin.

Lo invito a reflexionar lo que he compartido y a tomar ventaja de ello, comenzando a trabajar en una estrategia de prevención de fuga de datos que ayude a su organización a proteger ese activo tan valioso llamado información.