Hoy es necesario contar con una estrategia DLP
Seguridad informática. Entender dónde residen los datos y cómo se utilizan es indispensable para poder protegerlos
Durante los últimos años, varias empresas han enfocado sus esfuerzos en proteger sus datos y los de sus trabajadores. La tecnología y tiempo invertido para conservar no sólo la privacidad de sus procesos, sino garantizar la seguridad de lo que generan, se convirtió en un esencial para el correcto manejo de información. Sin embargo, la Prevención de Pérdida de Datos (DLP, por sus siglas en inglés) es una práctica que se ha ido dejando a un lado.
De acuerdo con Adriana García Cruz, country Manager de Symantec en México, las principales razones del fallo de una estrategia de protección de datos generalmente radica en que la naturaleza de estos proyectos es compleja. “Es necesario contar con una visión clara de lo que se tiene que proteger, además de que una práctica de este tipo tiene que involucrar diversas áreas y en ocasiones no hay tiempo para coordinarlas o un supervisor que pueda ejecutar esa visión”.
La primera recomendación al desarrollar un proyecto de protección de datos es definir qué se tiene que proteger y por qué. Los motivos pueden cambiar según el tipo de negocio, pues pueden estar sujetos a regulaciones, “pero la primera regla es que no se puede proteger todo, se debe de priorizar los datos a proteger”.
García señala que la segunda parte es entender el motivador del negocio para proteger los datos, “la respuesta a esta pregunta permitirá a la empresa alinear todos los recursos necesarios para llevar a cabo de manera exitosa un proyecto de este tipo. Sin una justificación de peso, el proyecto está destinado a perder relevancia con el paso del tiempo”.
Otro de los puntos indispensables es destinar recursos como tiempo, inversión y el talento de varias personas, ya que es un error delegar la totalidad del proyecto sólo en el responsable del área de tecnología dado que, si bien existe un componente tecnológico, no es la única estrategia a considerar.
El área donde se localizan los datos, ya sea Marketing, Recursos Humanos, Finanzas, Operaciones
u otras, deberá estar totalmente involucrada en el proyecto de seguridad, porque es la que sabe dónde están los datos, por dónde se mueven, quién los usa y cómo los usa.
Otra pieza clave, señala la experta, es que una estrategia de protección de datos debe tener un líder de proyecto que permita que las áreas se alineen y colaboren, evitando fricciones. “Este trinomio de tecnología-negocio-dirección, es la base de un buen proceso de implementación de una estrategia”.
El siguiente punto crítico es entender dónde están los datos, por ejemplo, en computadoras, servidores, bases de datos, aplicaciones, USB, equipos móviles o en la nube. También se debe identificar por dónde se mueven para entender los riesgos. “No es lo mismo consultar los datos en un equipo de cómputo que cumple con las
políticas de seguridad y está dentro de una red segura, que consultarlos desde un dispositivo móvil. Conocer todas estas variables permitirá crear las políticas necesarias para minimizar las amenazas”, expone García.
Aunque se trata de un proceso a largo plazo, la ejecutiva aconseja tomar medidas preventivas, pues en nueve de cada 10 casos las organizaciones desarrollan un plan de seguridad después de haber detectado un incidente, es decir, cuando ya es demasiado tarde. Por último, Symantec destaca que una estrategia de protección de datos tiene que planearse a largo plazo, considerar la asesoría constante y un plan de entrenamiento que llegue a todos los elementos de la empresa. Esto permitirá ir afinando procesos y políticas para, con el tiempo, evitar que los datos sean comprometidos.
La mitad de los empleados usa sus equipos personales para acceder a la información, por lo cual existe un riesgo que se debe contemplar.