ISACA OFRECE RECOMENDACIONES PARA REDUCIR LOS CRECIENTES RIESGOS DE FUGAS DE DATOS

6 de noviembre del 2010 | por Gerardo Zamudio

La cada vez más difusa línea que divide el uso personal y el profesional de dispositivos, como los teléfonos inteligentes y las netbooks, está creando un entorno propenso para fugas de datos corporativos potencialmente devastadoras; de acuerdo con ISACA, una asociación no lucrativa integrada por 95,000 profesionales de TI.

“Si bien la mayoría de las empresas utilizan mecanismos de seguridad para controlar la información sensible, estos controles a menudo son inconsistentes o se administran con un nivel poco adecuado en materia de agilidad y efectividad”, afirmó Tony Noble, autor del nuevo whitepaper de ISACA titulado Prevención de Fuga de Datos. “En un día hábil, los datos corporativos pueden viajar de diferentes formas – mensajes de correo electrónico, documentos de texto, hojas de cálculo, bases de datos, archivos planos y mensajes instantáneos, entre otros. El resultado es que, a pesar de sus esfuerzos, las empresas alrededor del mundo sufren de fugas importantes de información confidencial, lo que crea importantes riegos financieros y legales”.

En Prevención de Fuga de Datos, disponible para descargarse sin costo en www.isaca.org/dlp, ISACA ofrece los siguientes consejos para reducir este problema:

• Defina Primero las políticas. Antes de seleccionar e implementar la tecnología DLP, defina políticas adecuadas para regular su uso. El personal de la empresa y de TI deben participar en el desarrollo inicial de las políticas. La política debe adoptar un modelo basado en riesgos, y las organizaciones deben capacitar a sus empleados sobre cualquier cambio importante a sus procesos de negocio o procedimientos.

• Involucre a stakeholders además de TI. Implementar una solución DLP es una tarea compleja que requiere mucha preparación, incluyendo el desarrollo de políticas, el análisis de procesos de negocio e inventarios y el análisis detallado de los tipos de información que utiliza la organización. Estas actividades requieren la participación de los stakeholders, de TI y de la empresa.

• Esté consciente de las limitaciones de la tecnología DLP. Aunque las soluciones pueden ayudar a las empresas a identificar mejor los datos sensibles y controlarlos, también tienen limitaciones que son importantes entender. Por ejemplo, las soluciones DLP sólo pueden inspeccionar la información encriptada que pueden desencriptar primero. Si los usuarios tienen acceso a los paquetes de encripción personales donde las claves no son administradas por la empresa ni creadas por la solución DLP, los archivos no pueden ser analizados. Las soluciones DLP tampoco pueden interpretar archivos gráficos de forma inteligente. Además, con el aumento en el uso de dispositivos móviles, existen invariablemente canales de comunicación que las soluciones DLP no pueden monitorear ni controlar fácilmente. Por último, la tecnología DLP no está suficientemente desarrollada aún para impedir métodos de robo de datos más sofisticados, de acuerdo con el documento de ISACA.

“Entender las limitaciones de las soluciones DLP actuales es el primer paso en el desarrollo de estrategias y políticas que ayudarán a compensarlas”, señaló Noble.

Por su parte Gustavo Solís, Presidente del capítulo Ciudad de México de ISACA, comentó “El tema de fuga de información adquiere un matiz de mayor relevancia en México, dada la reciente aprobación de la “Ley de Protección de Datos”, la cual obliga a los particulares a manejar la información personal bajo estrictas normas de privacidad, existiendo importantes sanciones económicas para los que no cumplan con dicha Ley.

El seguir las recomendaciones presentadas en el documento de ISACA, ayudará a las empresas a reducir los riesgos potenciales de la implementación de programas DLP, incluyendo:
• Módulos DLP de red configurados incorrectamente
• Módulos DLP de red que no tienen el tamaño adecuado
• Reportes excesivos y positivos falsos
• Conflictos con el software o con el desempeño del sistema
• Cambios en los procesos o la infraestructura TI que vuelven inefectivos los controles DLP
• Módulos de red DLP colocados incorrectamente
• Falla no detectada en los módulos DLP
• Servicios de directorio configurados incorrectamente o incompletos

Existen whitepapers adicionales de ISACA que abarcan temas como el cloud computing, gobierno de medios sociales y la seguridad de dispositivos móviles, disponibles en www.isaca.org/downloads.