Prevención de la fuga de datos

¿Es posible evitar las fugas de datos de la empresa en medio de un exceso de canales de información?

La solución parece ser tan sencilla como la comida rápida; conseguir una aplicación DLP o de prevención de pérdida de datos de una de las empresas de renombre como HP o Symantec. ¿Es realmente tan sencillo? El problema es que los empleados podrían ser los ladrones silenciosos. Al fin y al cabo, copiar datos se ha convertido en un sueño hoy en día, como ocurre con la memoria USB. Ya no hay que luchar con voluminosas copias en papel. Un diminuto gadget puede albergar una biblioteca de información. Y luego están los correos electrónicos, y los archivos adjuntos podrían utilizarse para enviar información sensible a las personas equivocadas.

Se libra constantemente una guerra silenciosa de información

Al igual que las guerras publicitarias que se libran amargamente entre los rivales en el negocio como en los smartphones, la guerra de la información es muy real. La información cuesta dinero, como vemos cada día en los medios de comunicación. Unos segundos de publicidad para la marca de chocolate y la empresa paga una fortuna. Imagínese lo que se pagaría por las patentes y los diseños de productos avanzados que se investigan las 24 horas del día.

Un mercado DLP en auge

No es de extrañar, pues, que 19 megaempresas se disputen los primeros puestos del mercado de DLP. Se espera que la demanda aumente en casi 2.000 millones de dólares para 2019. Podemos imaginar por qué. La ciberdelincuencia se multiplica por diez cada año y sólo podemos trabajar con estimaciones. Impedir el acceso no autorizado es lo que mantiene ocupada a tanta gente. Gran parte de los medios de comunicación trabajan con estimaciones, pero nosotros tratamos las cifras como algo muy real. Nadie sabe realmente toda la verdad.

Los empleados formados con dedicación podrían ganar la mitad de la batalla

La comprobación de los antecedentes del personal puede ayudar a determinar la fiabilidad y los acuerdos firmados para mantener el secreto pueden aportar confianza al empleador. Si el personal está realmente contento con la organización, quizá haya menos posibilidades de que se produzca un robo de datos. Sin embargo, la formación es esencial para asegurarse de que los trabajadores entienden el problema y saben cómo controlar el flujo de información. Cada ordenador puede estar conectado a otros veinte ordenadores y la información viaja entre ellos todo el tiempo. La supervisión de la red garantiza sistemáticamente el paso fluido de la información. Los piratas informáticos utilizan la misma tecnología para penetrar en la fortaleza y robar datos por diversas razones, como los negocios, el espionaje, el terror y la simple travesura.

La fuga de información privilegiada parece ser minúscula, según el informe de Verizon en 2012, sólo fue del 4%. El problema más grave es que los ejecutivos de las empresas poseen una mina de oro de información en la oficina y podrían copiarla fácilmente. Un Bank of America filtró información de clientes a ladrones de identidad y la pérdida financiera ascendió a 10 millones de dólares, además de los problemas de relaciones públicas. ¿Difícil de creer? No, todo es cierto. El viejo software antivirus con respaldo de firewall se recomienda constantemente para garantizar la seguridad. Forma un poderoso muro que no es fácil de traspasar, al menos las principales empresas prometen tal escudo. Los DLP supervisan el movimiento de datos basándose en el perfil de propiedad intelectual de la empresa. El software examina cada bit de información que sale en los puertos y protocolos y responde adecuadamente.

Así, se podría impedir que la información saliera más allá de ciertos umbrales fijos. El cifrado y el bloqueo de USB parecen ser estrategias sólidas para preservar la información valiosa y evitar el acceso ilegal y la manipulación. Los bancos utilizan constantemente este tipo de encriptación y el sistema parece funcionar bien. Teniendo en cuenta las enormes cantidades de dinero en efectivo que cambian de manos legalmente cada día a través de la banca por Internet, parece que no hay nada de lo que alarmarse. Los servicios de pasarela de seguridad web, como alternativa a los DLP, protegen de los sitios web y el software malignos. Escanean los archivos en todas las vías de comunicación en busca de posibles pérdidas de datos, según los términos del lenguaje que contienen. Si alguien se comporta de forma irresponsable, el software lo detecta y da la alarma.

El problema del BYOD empeora las cosas

No sólo la información está por todas partes en tantas encarnaciones como los DVD, la mensajería instantánea, los teléfonos inteligentes y los blogs, el correo electrónico y las memorias portátiles, sino que la privacidad se ve constantemente comprometida por los teléfonos inteligentes con cámaras y grabación de vídeo que llegan a las zonas más sensibles. Nada parece estar fuera de su alcance, ni siquiera en las salas de ensayo de las empresas. Además, que te permitan llevar tu propio equipo al lugar de trabajo también tiene peligros potenciales, como una invitación abierta a robar información. Felices fueron los días en que la máquina de escribir manual, el teléfono y el fax estaban solos.

La pérdida accidental o el mal uso de la información ocurren a veces cuando se envía a la persona equivocada por casualidad. El problema no suele ser lo que hay más allá del perímetro, sino lo que ocurre dentro. Dado que la información se envía y reenvía constantemente, existen muchas oportunidades en el interior para manipularla o robarla. El antimalware y el cifrado, además de otros controles de seguridad, desempeñan su importante papel. Se utilizan tres capas de defensa que mantienen efectivamente las cosas en su sitio. Imagínese el grado de seguridad que requerirían las tarjetas de crédito y los números de la seguridad social.

Clasificación de los expedientes

Un sistema de clasificación de archivos garantizaría que la información sensible no pase por un protocolo o puerta de enlace, dando la alarma si lo hacen. Este sistema también podría aplicarse en las redes sociales, donde se impide el acceso a contenidos o imágenes censurables. Las disposiciones también podrían basarse en el tamaño de los archivos y los archivos anormalmente grandes despertarían dudas y detendrían el proceso. El comportamiento inusual de los empleados también podría ser supervisado de esta manera.

Lecciones aprendidas de historias de crímenes reales

El caso del robo de la base de datos de DuPont durante varios meses de 400 millones de dólares es revelador. La persona había accedido a 15 veces el número de archivos con los que trabajaban los demás en la oficina. Un empleado de Duracell vendió información sobre pilas, primero enviándola a su casa y después a una empresa rival. Controlar los datos internos es crucial, pero se necesitaría un software distinto para cada categoría de información. Hay que evitar poner todos los huevos en la misma cesta.