En la mayoría de las compañías donde he laborado, me han hecho firmar contratos de confidencialidad con el fin de proteger su información. Como todos sabemos la actividad diaria de las organizaciones genera datos e información de todo tipo y mantener esto bajo control es fundamental, pero ¿realmente se puede evitar la fuga de información?

Ahora en México existen algunas normas que obligan a ciertos sectores empresariales a proteger la información, pero ¿y los demás sectores?, podría pensarse que también aplican controles, pero muchos de nosotros que estamos dentro del ámbito de la seguridad de la información sabemos que es algo alejado de la realidad y he aquí el por qué.

Hoy en día no es necesario poner un pie en las instalaciones de la compañía para acceder a la información que es propiedad de ésta. Con la popularidad de Internet, las amenazas pueden venir desde el exterior y si no se cuenta con una protección perimetral de la red informática, así como un control de acceso de sus usuarios, la fuga de información a través de código malicioso está latente. De igual forma pasará cuando los usuarios se conecten remotamente a los centros de trabajo y no cuenten con encriptación de datos, así como con las herramientas necesarias para proteger su equipo móvil cuando se conecte a redes públicas.

Los empleados son también amenazas, pues de manera inconsciente pueden convertirse en un punto de fuga de información; lo único que se requiere es acceso a dicha información y extraerla. En la actualidad esto es muy fácil a través de dispositivos portátiles (USB Drives, teléfonos celulares), así como mediante la utilización de servicios gratuitos de correo electrónico, hospedaje y respaldo de datos vía Internet, por eso es importante contar con una política de gestión de usuarios, cada uno con sus permisos correspondientes para acceder a determinadas aplicaciones y/o sitios Web. También es preciso definir en los procesos del Departamento de Recursos Humanos algún procedimiento que impida, o al menos dificulte, el que una persona extraiga información de la compañía.

Como se percibe, nunca estaremos protegidos al 100% contra un robo de información. Hay amenazas internas y externas que están presentes en todo momento y pueden provocar una fuga hacia algún tercero. La fuga de datos no es nueva, siempre ha existido el espionaje industrial (virus, spyware, etc.), los empleados descontentos que roban información o las pérdidas accidentales de datos. Es pues primordial establecer procedimientos y políticas contra este tipo de problema en cada organización, y no necesariamente solo para cumplir con normas o leyes dictadas por el gobierno. A continuación, enlisto algunas de las principales vías de fuga de información:

.

Código malicioso

Troyanos, spyware, keyloggers, todos estos desarrollos maliciosos tienen una sola misión: robar información. Ningún lector de esta revista tiene dudas sobre la importancia de protegerse contra esta amenaza a través de soluciones antimalware o sistemas antivirus para los troyanos, etcétera.

.

Descargas

Las aplicaciones de uso doméstico que se descargan vía Web, además de ser un dolor de cabeza y un posible agujero de seguridad, es factible que sean utilizadas para transmitir información confidencial. Skype, 4Shared, MSN son aplicaciones comunes en los hogares, pero dentro de las compañías son una amenaza que se debe considerar. Una solución para evitar la fuga de datos a través de estos medios es establecer políticas de uso de esas aplicaciones en los equipos propiedad de la compañía, dependiendo del tipo de usuario y la información que maneja, con el fin de bloquear o borrar estas aplicaciones.

.

Portables

La pérdida o robo de USB, CD y portátiles es una realidad. En México por desgracia la inseguridad está a la orden del día, aunado a los descuidos del personal, y los costos asociados a este tipo de pérdidas son relevantes, no sólo por las posibles sanciones si hay datos confidenciales de por medio, sino por el daño que se puede ocasionar a la imagen de una empresa.

La mejor opción para evitar estas pérdidas es, en primer lugar, controlar la información que intenta ser copiada de la red de la compañía hacia dispositivos móviles. Una vez identificada y controlada la información que se deja copiar, ésta debería ser cifrada para evitar un uso inadecuado en caso de robo o pérdida.

.

Correo

La vigilancia de esta vía de comunicación debería estar en primer lugar, ya que es el medio más usado por las organizaciones durante las horas laborables para transmitir información tanto legítima como ilegítima. Una vez más, las dos medidas a tomar para evitar la fuga a través de este medio serían controlar  la información que está siendo enviada por correo (tanto el de la compañía como el personal) y, en el caso de que se trate de información confidencial, que ésta sea cifrada.

.

Redes sociales

Son una de las nuevas formas de enviar información y su control es complicado; lo primero que hay que hacer es educar a los empleados y en general a los usuarios porque, aunque parezca increíble, en las redes sociales las personas comparten información que nunca compartirían en su vida “real”. Por ello es imperativo contar con protecciones de seguridad que filtren el contenido URL por usuario o grupos de usuarios dentro de la compañía.

Si somos capaces de controlar por lo menos estas vías de fuga de datos estaremos en una buena posición para asegurar que la información confidencial esté a salvo. Recuerden que más vale prevenir que corregir. Si hablamos de información, poco podremos hacer si en algún momento se escapa de nuestro control, ya que hoy en día copiar datos y transmitirlos por la red es cuestión de segundos (o menos).

.

[email protected]