¿Cómo evaluar los riesgos empresariales relacionados con las pérdidas de información?

29.05.2017

Volver Cada empresa seria, sin dudas guarda sus “secretos comerciales” para que nadie tenga acceso excepto sus propios empleados. Basta con recordar el escándalo producido por las “escuchas telefónicas” realizadas por los periodistas del semanario inglés News of the World que ocasionó su cierre definitivo (el tabloide británico fundado en 1843 publicó hasta el año 2011 y fue cerrado a causa del escándalo de las escuchas telefónicas de personas famosos).

Los expertos estiman que, en seis de cada diez casos, la fuga de tan sólo un 20% de los secretos comerciales es suficiente para que la empresa quiebre.



La lista de las cosas que no deben ser públicas varía dependiendo del tipo de la actividad de cada empresa, pero en general incluye los siguientes ítems:




  • Documentos que describen la situación financiera y los planes de la empresa (estados financieros, registros contables, planes de negocio, contratos, etc.).

  • Datos personales de clientes y empleados de la empresa.

  • Desarrollos tecnológicos y de ingeniería, “know-how”, etc.

  • Documentos internos (notas, audios, grabaciones de reuniones, memorandos “sólo para uso interno”, etc.).

  • Información técnica necesaria para el acceso autorizado a la red (nombres de usuario y contraseñas, información sobre medios de protección utilizados, etc.).



La mayoría de los ejecutivos están de acuerdo en que la información debe ser protegida.



Pero como lograrlo, Oficiales y Jefes de seguridad afirman que el despliegue de un sistema DLP (es decir, la tecnología para la prevención de fugas de datos) es un paso importante en el fortalecimiento de la seguridad de la información de la empresa.



Esta solución de software está diseñada para evitar fugas de información confidencial y, con una implementación adecuada, la documentación de los procedimientos y las políticas de seguridad necesarias reducirán significativamente la probabilidad de transmisión no autorizada de datos confidenciales fuera de la empresa.



¿ENTONCES CÓMO EMPEZAR?



En teoría es muy simple. Para tomar la decisión sobre la necesidad de instalar un sistema DLP, hay que seguir sólo tres pasos:




  • Evaluar la probabilidad de ocurrencia de incidentes de seguridad (por ejemplo: ¿Cuántas veces al año la empresa sufre pérdida de datos?).

  • Evaluar los posibles daños (¿Cuánto nos van a costar?).

  • Comparar el valor de la información con el costo de la implementación del sistema.



La práctica mundial asegura que, si el costo resultante de los posibles daños es por lo menos igual al costo de implementación del DLP, entonces vale la pena implementarlo. Debemos tener en cuenta que a menudo, el costo de la fuga de información es varias veces superior al costo de la implementación del DLP. De acuerdo con los datos de SearchInform, basados en la investigación del Instituto Ponemon, el costo promedio de la fuga de información en todo el mundo es de 2.7 millones de dólares. Desafortunadamente, este número aumenta cada año.



EVALUACIÓN DE RIESGOS INTERNOS



En primer lugar, es necesario determinar cuáles son los riesgos más importantes para su empresa. En la mayoría de los casos es necesario proteger:




  • Documentación financiera y contable.

  • Planes, proyecciones y previsiones para el desarrollo de negocio.

  • Documentos internos valiosos para nosotros y deseados por los competidores.

  • Protocolos de reuniones.

  • Datos personales de los empleados.

  • Modelos de contratos e informes.

  • Descripción del “know-how” y procesos de fabricación.

  • El código fuente de software desarrollado por la empresa.



Después de hacer una lista de los elementos que para los competidores o los empleados malintencionados pueden ser objeto de tentación, es necesario especificar cuáles son los canales de información para cada elemento de la lista por la cual puede ocurrir una fuga. Muy a menudo, los documentos importantes se filtran a través del correo electrónico, ICQ, Skype y dispositivos de almacenamiento USB.



CONCLUSIÓN



En resumen, una evaluación de riesgos es compleja, por eso es necesario:




  • Crear una lista de los riesgos posibles.

  • Relacionar cada uno de los riesgos potenciales con los canales de transmisión por donde puede producirse la fuga de información.

  • Relacionar estos riesgos con cada pérdida.

  • Implementar un sistema DLP que nos permita realizar antes de tomar la decisión de compra una prueba de operación completa y nos de la oportunidad de analizar informes reales de incidentes ocurridos durante el periodo de prueba.



Y recuerde que, si el costo de la introducción del producto, el análisis de riesgos de negocio, los costos de formación del personal y la creación de políticas de seguridad son comparables con el costo de la pérdida, la implementación de DLP definitivamente está plenamente justificada. Después de todo, como con cualquier enfermedad, siempre es mejor prevenir que curar.