La fuga de información ha ocasionado que las empresas enfoquen sus recursos a fomentar mejores medidas de protección de datos. México ha optado por una protección apegada a lo establecido por la OEA pero aún faltan medidas que retomar.
Ciudad de México.- De acuerdo con una investigación de la firma de control de riesgos, Kroll, se ha dado a conocer que la infraestructura en ciberseguridad, los riesgos en la cadena de suministro y los empleados que hacen mal uso de la información privilegiada, son algunos de los temas que las compañías han comenzado a reforzar para este 2014, con el objetivo de mejorar sus prácticas y protección.
A comparación de lo que sucedía dos años atrás, cuando el interés de las compañías no tenía enfoque total en temas de ciberseguridad, este año las Juntas Directivas han puesto especial atención en ciberseguridad y la forma en que se usan sus datos ya que esto forma parte de la responsabilidad judicial de la organización frente a sus accionistas y clientes.
“En caso de que una organización nos solicite una evaluación de seguridad, las preguntas que surgen con frecuencia son: ¿En comparación con qué estás evaluando?, ¿Hay alguna norma que apoye la comparación? ¿Es la experiencia de otra organización? No existe una norma perfecta y sospecho que nunca la habrá”, comentó Brian Weihs, director de Kroll México.
Añadió, “sin embargo existen estándares internacionales que le pueden dar una idea a la junta directiva, como por ejemplo los marcos de seguridad del Instituto Nacional de Normas y Tecnologías de Estados Unidos o incluso la norma ISO”.
Enfoque mexicano
En este sentido, México ha optado por el modelo de inteligencia de negocios basada en la protección informática propuesta por la Organización de Estados Americanos (OEA), que impulsa la creación de centros de seguridad de información.
De acuerdo con la OEA, hasta el momento el único país que cuenta con dichos centros es Colombia, sin embargo Chile, Perú, México y Uruguay entre otros, señala, son países que comienzan a mostrar progresos significativos en ciberseguridad, guiados por las tendencias de países como Canadá, Alemania, Japón, Reino Unido y Estados Unidos.
Con ello, en México se implementa un modelo de inteligencia de negocios basada en la protección informática para evitar riesgos de fuga de datos, información y fraudes que afecta la credibilidad de las instituciones y empresas así como la percepción del público.
Sin embargo, una de las formas más comunes de amenazas a la cadena de suministro de datos al interior de las compañías consiste en que los distintos administradores y empleados en ocasiones utilizan servicios como Dropbox, iCloud o Skydrive sin siquiera notificarlo, lo que significa un riesgo importante cuando se trata de información sensible.
Precisamente es que las compañías deben comprender que la evolución del concepto de computación en la nube y la computación remota para descifrar dónde están los datos de las empresas, quién los maneja y cómo protegerlos; las organizaciones tienen la obligación de saber si su información es manejada por alguien más.
Auge de infiltrados
En distintas investigaciones se ha descubierto que hay cada vez más presencia de infiltrados en las compañías que manejan información sensible y privilegiada. Sin embargo, la definición de infiltrado ha evolucionado con los años, ya que anteriormente se pensaba que era un empleado, pero actualmente se ha descubierto que incluso socios de negocio y asociados que proveen de servicios a las compañías han resultado ser infiltrados.
Hay también casos de empleados temporales, contratistas, vendedores e incluso todo un ecosistema de organizaciones que colectivamente se perfilan como infiltrados. Algunos lo hacen por la ganancia de dinero que esto representa la venta de información, por agenda política, “hacktivistas” o alguien que trabaja de la mano con cibercriminales.
En el otro extremo, se encuentran los trabajadores y personas que se convierten en proveedores de información importante o privilegiada a cibercriminales, como aquellos empleados que caen en la trampa del phishing mediante correos electrónicos maliciosos porque suelen ser tan creíbles que incluso piensan que lo solicitado por el cibercriminal es algo real y que debe realizarse necesariamente.
Hay casos en los que un empleado se encuentra una memoria USB en el estacionamiento y la insertan en el equipo de la compañía con el objetivo de verificar quién es el dueño del dispositivo para devolvérselo, sin saberlo, están cayendo en una trampa que se ha vuelto común; este tipo de personas seguramente tienen las mejores intenciones, pero forman parte de la cadena de infección al interior de la compañía.
De acuerdo con Symantec, el 2013 concluyó con un alza del 62% en el robo de identidades al interior de las compañías, en particular las de las industrias de finanzas, manufactura y de servicios profesionales, lo que implica la exposición pública de 552 millones de identidades.
En ese mismo sentido, México se ubicó en la cuarta posición en América Latina en términos de actividad maliciosa, ubicándose en la posición 27 a nivel mundial.
Cómo remediar una filtración
Cuando se tiene un caso de incumplimiento o violación en la seguridad de la información o integridad de la compañía, estas suelen cometer un error común: pensar que una sola solución es aplicable para su público interno como para sus clientes y/o accionistas.
“Cuando ocurre un incidente que involucra información y datos sensibles, hemos descubierto que cada vez es más importante para las organizaciones trabajar con sus gerentes de riesgo, abogados, consejeros y todos los recursos que estén a su disposición para entender qué fue lo que sucedió y a partir de ahí tomar responsabilidad ya con un panorama más claro de la realidad”, comentó Brian Weihs.
Actualmente suceden dos aspectos relevantes en la industria: el fenómeno “en la nube”, donde cada vez más cosas son hechas de manera remota y cada vez menos cosas se hacen al interior de las compañías o en un escritorio.
La otra, es que los empleados traen sus dispositivos móviles al trabajo, lo que orilla a las compañías a pensar no solamente en los alcances de la tecnología, sino en sus implicaciones legales y el descubrimiento de cómo es que estos dispositivos pueden llevarse a un conjunto de normas razonables de conformidad con las necesidades reales de la compañía.
El Semanario Sin Límites, con información de medios