Durante los últimos días, WikiLeaks ha acaparado las portadas con sus amenazas de sacar a la luz ciertos documentos confidenciales de algunas de las corporaciones más grandes del mundo. Existen muchas empresas que están evaluando seriamente sus estrategias de protección de datos, mientras que muchos proveedores de servicios de seguridad han visto cómo están aumentando vertiginosamente las solicitudes de evaluaciones de riesgos.
Si bien es imposible eliminar completamente la pérdida de datos, las organizaciones sí pueden reducir los riesgos que existen cuando los datos confidenciales abandonan su lugar de origen. Las organizaciones buscan una forma de controlar el movimiento de la información confidencial e impedir que los usuarios envíen documentos confidenciales por correo electrónico, los impriman, los copien a dispositivos extraíbles o los envíen a través de sistemas de mensajería instantánea. Todos estos asuntos (y muchos otros) se pueden mantener bajo control utilizando soluciones de prevención de pérdida de datos.
El software que se encuentra instalado en los equipos de los usuarios puede controlarlos y evitar que la información confidencial se escape accidentalmente, ya que busca una confirmación de la intención del usuario antes de permitir que se envíen datos confidenciales. También existen aplicaciones que se pueden instalar en la red que registran y clasifican toda la información que se transmite por Internet; por otro lado, existen dispositivos que pueden buscar datos almacenados estructurados y no estructurados, de modo tal que las organizaciones puedan descubrir dónde se guardan los datos.
Sería normal esperar que una organización tenga conocimientos profundos sobre los datos y su uso, de modo tal que el personal de TI pueda buscar anomalías en las comunicaciones. Pero este enfoque tiene un error fundamental: requiere que las organizaciones sepan con anticipación dónde y cómo se producirá la pérdida de información, algo que resulta casi imposible (excepto en los casos más sencillos que involucran datos de tarjetas de crédito o números de la seguridad social, datos que nunca debieran salir de la organización). Hoy en día, la tecnología permite que las organizaciones puedan responder preguntas como estas y ayuda a que las organizaciones definan procesos de negocios que se pueden poner en práctica a través de soluciones. En cuanto se descubre una anomalía, se puede corregir utilizando tecnologías como el cifrado, la administración de derechos digitales de la empresa, la educación del usuario o la aprobación del gerente.
La movilidad permite que la fuerza de trabajo logre alcanzar más objetivos que nunca; y esta tendencia no deja de crecer. Simultáneamente, las redes sociales se convierten en un punto de interés cada día más importante para las empresas. Estas dos fuerzas representan un aumento gigantesco en el nivel de riesgo que las organizaciones enfrentan en relación con la pérdida de datos. Si a esto agregamos la necesidad que tienen las organizaciones de compartir datos esenciales con sus socios más importantes, no queda más opción que buscar la mejora de los enfoques tradicionales respecto de la seguridad.
El primer paso es la identificación clara de que se ha producido una pérdida de datos. Pero, ¿cuál sería el segundo paso? Las empresas deben estar capacitadas para responder preguntas relacionadas con cuándo y cómo se produjo esa pérdida de información y quién es responsable de ella.
Más allá del cumplimiento de las normas
El impulso inicial de la prevención de pérdida de datos surgió en las leyes estatales de notificaciones de infracciones, junto con regulaciones industriales y gubernamentales, tales como SOX, HIPAA, PCI e ITAR. Algunos enfoques regulatorios, como HIPAA HITECH y las leyes estatales de privacidad, han sido fundamentales para asegurar que las organizaciones notifiquen las pérdidas de datos personales. Estas normas contienen disposiciones que permiten que agentes externos verifiquen la existencia de amenazas que no han sido notificadas por alguna organización.
Si observamos el funcionamiento de HIPAA antes de que se realizaran las recientes mejoras de HITECH, podemos ver que la puesta en práctica de las medidas carecía de rigidez y los impactos de las pérdidas de datos no estaban claros. Una vez que se completó la ley HITECH, el comportamiento de las organizaciones de salud mejoró notoriamente. Ahora, las organizaciones se exponían a multas en caso de que se produjera una pérdida de datos y los costos aumentaban si el responsable era un denunciante externo. La ley de privacidad de Massachusetts es un buen ejemplo de los costos asociados con las pérdidas de datos.
Hoy en día, una empresa pública puede perder una receta secreta, un plan de lanzamiento u otros datos confidenciales y no está obligada a informar este hecho. Algunas organizaciones reconocen las amenazas y han sido proactivos para enfrentarlas; sin embargo, muchas otras no han tomado ninguna medida, debido a que creen no tener la necesidad. Wall Street debiera exigir que, cuando emitan informes financieros, las empresas certifiquen que no han sufrido pérdidas de datos confidenciales. Esto permitiría dar mayor visibilidad a este problema e instaría a que los altos cargos adopten el compromiso de enfrentar este desafío.
Algunas bases de datos, como la Verizon o datalossdb.org<http://datalossdb.org> crean una oportunidad de descubrir varias aristas del problema; sin embargo, el desafío principal es desarrollar los recursos que permitan mejorar las protecciones. La base de datos de Verizon es de gran ayuda para informar acerca del problema; ahora, debemos tomar cartas en el asunto.
Competitividad global y la amenaza de la pérdida de datos
Cada vez es más frecuente que las organizaciones lleven a cabo sus negocios en el escenario global, lo que implica la existencia de datos confidenciales a lo largo de toda su estructura. La búsqueda de información en este entorno puede ser tan frustrante como intentar buscar petróleo sin un mapa geológico que nos indique lo que hay bajo la superficie: lo más probable es que termine en un completo fracaso. Los fundamentos de la prevención de pérdida de datos indican que se debe tener este mapa antes de comenzar la perforación. Por lo tanto, estos proyectos comienzan con un desafío difícil de superar. Nosotros vemos el mercado desde un punto de vista diferente y creemos que se debe impulsar la educación a través del mapeo de procesos de negocios y que los esfuerzos por prevenir la pérdida de datos se debe enfocar en las áreas de mayor prioridad.
En el mundo de hoy, las organizaciones intentan ir más allá de las medidas que les permitan sólo cumplir con las normas: desean proteger sus datos confidenciales, como documentos de diseño, esquemas, planes de lanzamiento de productos, fórmulas farmacéuticas, etc. Estos documentos son mucho más complejos que los números de seguridad social o de tarjetas de crédito y, por lo tanto, las soluciones tradicionales de prevención de pérdida de datos suelen no ser tan efectivas para identificar estos datos.
Imagine con cuánta gente una organización comparte el diseño de un teléfono inteligente que pretenden lanzar al mercado. El aspecto principal para resguardar y proteger este tipo de información confidencial y su uso, radica en la comprensión de los procesos de negociones, lo que es ortogonal para las organizaciones que deben proteger datos (información secundaria). El enfoque de McAfee funciona como un puente que permite a las organizaciones descubrir cómo ocurren los procesos de negocios, en comparación con sus diseños originales. Este conocimiento facilita coordinar los objetivos de estos grupos ortogonales.
No pretendemos afirmar que las soluciones de prevención de pérdida de datos cubren cada una de las posibilidades de que se libere información, pero la experiencia nos indica que la mayoría de las pérdidas se producen a través de canales tradicionales que son fáciles de controlar.
Faizel Lakhani
