La fórmula correcta contra la infiltración de datos

Redacción01/02/2008

3 minutos de lectura

La infiltración de datos es siempre una mala noticia. Si no lo cree, pregúntele a Ferrari y a McLaren, los gigantes de F1 implicados en una controversia sobre el supuesto robo de documentos técnicos. O a Facebook, quien recientemente cometió el error de revelar una pieza de su propio código fuente y posiblemente a sus propios usuarios. O a Monster.com, quien cometió un error digno de monstruos: pasarle más de un millón de registros de clientes a “piratas de Internet” expertos.

Las compañías enfrentan presiones en espiral para proteger todos los tipos de datos sobre sus negocios, lo que se ha vuelto una carrera para proteger los datos contra los cada vez más sofisticados piratas.

Un blanco que se mueve

La situación se complica más por la necesidad de proteger datos sensibles, guardados dentro de la empresa, en dispositivos de la misma o en movimiento; sin embargo, la mayor parte de la tarea es controlar el acceso y el uso de información sensible por parte de empleados y terceros de confianza.

Lo anterior es obligatorio debido al crecimiento de reproductores de medios de comunicación digital, cámaras, IM, sitios de red sociales y dispositivos USB, todos potenciales medios de infiltración.

De ahí el creciente interés en la protección contra la infiltración de datos (DLP), dado que las compañías procuran políticas, procesos y herramientas que las ayuden a proteger su propiedad intelectual y a detener las infiltraciones. Nos preguntamos cuál es la mejor fórmula para la DLP, qué deberían proteger las organizaciones y cómo deberían controlar esta protección.

Un informe de Gartner del 2007 identificó cuatro tecnologías clave como las responsables por los mayores riesgos. Evaluemos cada una de ellas por separado para ver las soluciones y políticas que pueden proporcionar la gestión de cada tipo de riesgo.

Parando el ómnibus

Los dispositivos USB (cámaras, reproductores de MP3, unidades portátiles, etc.) representan un riesgo clave, de acuerdo con el informe. Es importante incluirlos en la política de uso aceptable del negocio (AUP), para educar a los usuarios en cuanto a la importancia de seguir políticas y advertirlos sobre los riesgos de no hacerlo. Las políticas por sí solas no son suficientes, se debe sumar soporte y ser aplicadas.

Algunas compañías han adoptado un enfoque empírico al bloquear los puertos USB con goma epóxica. Un método más adecuado consiste en invertir en un producto de control de puerto que puede bloquear los dispositivos USB en forma automática para la conexión sin autorización a PCs. Productos más avanzados incluyen codificación transparente que de forma automática hacen inaccesible la información que se copia a dispositivos USB.

Contener la oficina social

El uso de blogs y de sitios de red sociales también debería agregarse a la AUP. Cuando se ingresa a un blog, se necesitaría especificar si el negocio se encuentra cómodo permitiéndoles a sus empleados que ingresen a la página. La propiedad intelectual y la información confidencial deberían excluirse de los blogs, y lo mismo de los sitios de redes sociales.

Asuntos móviles

Los dispositivos móviles implican cada vez más aplicaciones robustas, cargan una gran cantidad de datos del negocio y son cada vez más un blanco de la codificación mal intencionada. Las empresas pueden tomar precauciones para limitar los riesgos de estos dispositivos sin recurrir a una rotunda e inaplicable prohibición; por ejemplo, un despliegue de codificación para todos los dispositivos móviles aprobados que tienen acceso a datos sensibles.

Dispositivos remotos

Los empleados se conectan con los recursos de la empresa mediante redes y dispositivos remotos no controlados, dice el informe Gartner. Esto puede incrementar la productividad, pero también cavar agujeros en la seguridad de la red. Las compañías deberían desplegar VPNs para restringir el acceso basadas en reportes de la seguridad del punto final del usuario. La VPN puede ser SSL o IPSec, de acuerdo con las necesidades de la compañía. Los clientes IPSec permiten cada vez más control y dirección del punto de acceso remoto, lo que sucesivamente aumenta la protección de los recursos corporativos.

Combinados, estos cuatro pasos resultan en una fórmula que rápidamente conducirá a las compañías por un largo sendero hacia la finalización de potenciales infiltraciones. Es una larga carrera, pero el Círculo del Ganador será mucho más dulce que el choque en la pista.

* Nick Lowe cuenta con 20 años de experiencia en la industria de tecnología. Ingresó a Check Point Software Technologies como director regional para Europa del Norte en 2003 y como jefe de Operaciones para el Sur de África, Reino Unido e Irlanda. Maneja las estrategias de desarrollo y maximización del mercado potencial. También tiene a su cargo ventas y soporte para socios y clientes en dichas regiones.