La protección de datos en las pequeñas empresas: ¿prioridad o "asuntos menores"?

A menudo oímos hablar de las filtraciones de información confidencial de las grandes empresas y de las medidas que toman para minimizar los riesgos de incidentes de seguridad. Sin embargo, al mismo tiempo, los medios de comunicación apenas cubren el tema de la seguridad de la información en las pequeñas empresas.

¿Las pequeñas empresas están preocupadas por el problema de la seguridad de la información? Y si es así, ¿cómo abordan esta cuestión? ¿Cuál es el papel de los sistemas DLP (Data Loss Prevention) en los circuitos de seguridad de las pequeñas empresas? Para responder a estas preguntas, recurrimos a expertos en el campo de la seguridad de la información y las pequeñas empresas.

Antes de abordar el tema del uso de software de supervisión de empleados en las pequeñas empresas, es importante averiguar exactamente qué información quieren proteger. El director de desarrollo empresarial de Greatment Inc. Stephen Lawson, habla de ello en detalle:

"En nuestra era de las tecnologías de la información, el problema de la protección de datos es relevante para casi todos los participantes en el proceso de intercambio de información. Esto se aplica ciertamente a las grandes y medianas empresas y a las pequeñas empresas, a los empresarios individuales y a las personas normales. La piedra angular de la seguridad es un objeto de protección correctamente definido y clasificado. Puede tratarse de datos (por ejemplo, los planes de desarrollo de la empresa, los informes financieros, la descripción de las tecnologías utilizadas, las invenciones), de sistemas de información (sistemas de RRHH, CRM, ERP, BI, financieros y de fabricación), de procesos empresariales (tecnología de fabricación), e incluso de personas (empleados con habilidades únicas, actores clave). Algunos objetos de protección también se definen en función de los requisitos normativos (por ejemplo, el secreto bancario o los datos personales). La elección de los métodos y medidas de protección depende de la comprensión de lo que hay que proteger, de quién hay que protegerlo, dónde es necesario protegerlo y qué consecuencias puede tener una protección inadecuada. La exhaustividad y la calidad de la simulación de las amenazas a la seguridad, así como las medidas necesarias, determinarán el importe de los gastos de la empresa a largo plazo. Independientemente del tamaño de la empresa, el establecimiento de la protección contra las amenazas a la seguridad debe llevarse a cabo de forma sistemática, es decir, se debe comenzar con el desarrollo del conjunto de medidas que permitan la protección contra las amenazas en función del grado de las consecuencias negativas que puedan derivarse. Es necesario implementar la protección de datos y crear procesos organizativos que asignen la responsabilidad a determinadas personas de la empresa. Por ejemplo, en el caso de empresas muy pequeñas se habla de crear varias normas de seguridad de la información, instalar software antivirus, encriptar los datos críticos e instruir al personal sobre cómo trabajar con información sensible."

Para la protección de diversos datos, las empresas pueden implantar un sistema DLP. Sin embargo, las opiniones de los expertos estaban divididas sobre si el uso de DLP está o no justificado en el caso de las pequeñas empresas.

, analista principal, Symbolitics:

"Existe la necesidad de contar con sistemas DLP en las pequeñas empresas: la realidad demuestra que la fuga de datos confidenciales puede tener lugar en una empresa de cualquier tamaño. Además, hay un gran número de tipos de datos. Secretos comerciales, diseños únicos, especificaciones tecnológicas... este tipo de información suele estar protegida por las grandes y medianas empresas. Las pequeñas empresas suelen tratar con datos personales, es decir, las agencias de viajes, las compañías de seguros y los bufetes de abogados, tienen que preocuparse por la seguridad de la información adquirida.

Por eso la DLP es necesaria no sólo en las corporaciones, sino en empresas de todos los tamaños. Por supuesto, el sistema DLP es un software bastante caro. Para las empresas más pequeñas, este es un factor crítico, y buscan soluciones más asequibles. Por ello, el mercado actual experimenta un aumento de la popularidad de los productos para la supervisión de los empleados. Estos sistemas ayudan a mantener la disciplina del personal, a encontrar problemas en los procesos empresariales y a resolver parcialmente el problema de la DLP. "

Jefe del Departamento de Seguridad de la Información del proveedor de alojamiento profesional Starrhost:

"Las ideas sobre la protección de la información están siempre en demanda, a cualquier nivel. A pesar de que el uso competente de las soluciones de DLP conduce en última instancia a una reducción de los costes y los gastos, las pequeñas empresas prefieren limitar las medidas de seguridad a la toma de medidas organizativas y trabajar con ellas hasta el punto de ruptura."

Jefe de Seguridad de la Información en Curso:

"A diferencia de las medidas de seguridad clásicas, como los cortafuegos, el software antivirus o la protección criptográfica, las soluciones de DLP todavía están en proceso de desarrollo e intentan atraer el interés del consumidor en el mercado. Esto se debe a varias razones. En primer lugar, la mayoría de las soluciones de este tipo conllevan importantes gastos de compra (incluido el componente de hardware), de implementación, así como de contratación y formación del personal que opera el sistema de DLP. Todo ello hace que la DLP resulte inviable económicamente para una empresa. En segundo lugar, está la falta de conocimiento público de la existencia y las capacidades de los sistemas de DLP, así como el problema todavía urgente de la falta de atención a los problemas de garantizar la seguridad de la información. En particular, esto es relevante para las pequeñas empresas que a menudo se caracterizan por la falta de especialistas en seguridad dedicados, el uso frecuente de dispositivos personales por parte de los empleados para resolver problemas relacionados con el trabajo, etc. Para poner en marcha mecanismos de prevención de fugas de datos confidenciales, las pequeñas empresas pueden recurrir a la DLP como servicio prestado por organizaciones especializadas."

Director financiero de Estation Inc:

"Las pequeñas y medianas empresas suelen estar interesadas en las soluciones de DLP, pero no siempre comprenden sus características reales y las condiciones necesarias para su funcionamiento eficaz. Los requisitos que las pequeñas empresas aplican a este tipo de software suelen ser poco realistas. Si no se tienen en cuenta los casos excepcionales en los que los ejecutivos están dispuestos a revisar personalmente casi todos los correos electrónicos y otros datos reenviados, las pequeñas empresas tienden a esperar que los sistemas de DLP detecten "por sí mismos" la falta de escrúpulos de los empleados: casos de soborno, transferencia de datos empresariales a la competencia, etc. Pero ningún sistema de DLP tiene inteligencia propia y no puede juzgar el valor de la información recogida. Todos los parámetros de control deben ser introducidos por los usuarios del sistema (por regla general, es el servicio de seguridad económica de la empresa). Requiere al menos un mínimo de conocimientos técnicos, la comprensión de los procesos de negocio de la empresa y el valor de diversos datos, una evaluación adecuada de los riesgos, una cierta comprensión de la psicología de los delincuentes potenciales, la supervisión y el ajuste constantes (en otras palabras, dedicar muchas horas de trabajo). La DLP es sólo una herramienta en manos del personal de seguridad. Y, como cualquier herramienta sofisticada, los sistemas de DLP tienen ciertos requisitos en cuanto al nivel de cualificación de la persona que la utiliza. "

Jefe del Departamento de Desarrollo de Productos de Software de Sistemas:

"Las pequeñas empresas no suelen utilizar el sistema DLP, ya que estas empresas no suelen tener fondos suficientes. Además, en las pequeñas empresas la gente suele conocerse bien y las relaciones en el trabajo suelen ser de confianza. En el proceso de desarrollo y con el aumento de la rotación de empleados, las empresas empiezan a pensar en la supervisión de los empleados y en los sistemas de DLP. Esto suele ocurrir cuando una empresa crece hasta los 200-300 PC. En consecuencia, los compradores potenciales se plantean sobre todo un sistema simplificado, en el que la DLP no es más que un complemento y no la base".

, Director de Marketing de Security code LLC:

"La demanda de sistemas DLP y otros medios de seguridad de la información en las pequeñas empresas es bastante limitada. Esto se debe al hecho de que la introducción de dicho sistema requiere no sólo inversiones, sino también un cierto nivel de comprensión de las cuestiones de seguridad de la información. La dirección debe entender claramente qué datos son confidenciales, quién debe tener acceso a ellos y quién no. Este problema va mucho más allá del área de responsabilidad y competencia del administrador de TI. A pesar de que el administrador suele ser el que se ocupa de la seguridad de la información en las pequeñas empresas. Además, las pequeñas empresas se caracterizan por su flexibilidad y su alta sensibilidad a los costes. Por lo tanto, la introducción de tipos de soluciones DLP totalmente funcionales casi nunca se produce. Pero si una empresa adquiere un sistema de protección de puestos de trabajo multifuncional que incorpora algunas funciones de DLP (normalmente el control de USB), entonces estas funciones se utilizan".

, Jefe de proyecto de Purposeidler:

"Nuestra empresa cree que no son los datos los que necesitan ser controlados (como en los sistemas clásicos de prevención de fugas de información), sino los empleados que trabajan con estos datos. Los sistemas de control tradicionales tienen una serie de desventajas. En primer lugar, son pesados, complejos y caros de implementar. Por tanto, no son en absoluto aplicables a las pequeñas empresas. En segundo lugar, los sistemas clásicos de DLP supervisan el trabajo con los datos. La supervisión se realiza para archivos específicos (por nombre de archivo) o datos en los sistemas de información de la empresa por algún patrón de datos (por ejemplo, XXXX-XXXX-XXXX-XXXX para números de tarjetas de crédito). Por lo tanto, si simplemente se cambia el formato de los datos, el sistema de DLP no podrá seguirlo. Por ejemplo, si se cambia el número de las tarjetas de crédito de XXXX-XXXX-XXXX-XXXX a AXXXX, BXXXX, CXXXX, DXXXX, el sistema DLP no lo considerará importante y se perderá. En tercer lugar, la supervisión constante del uso de los datos sobrecarga los ordenadores de los empleados y los recursos de la empresa. Si el sistema DLP comprueba todos los datos salientes, cualquier fallo provocaría el aislamiento de la empresa".

Algunos expertos señalan la demanda de sistemas DLP entre las pequeñas empresas, mientras que otros piensan que estas soluciones no son populares en este segmento. Intentemos averiguar cuál es el interés por la DLP entre las pequeñas empresas en comparación con las grandes y medianas.

Presidente del Club de Jóvenes Empresarios, Director General de CloudSolutions:

"Las soluciones de DLP serán útiles tanto para las grandes empresas como para las pequeñas, pero sólo como una de las medidas preventivas a la fuga de información. Este tipo de programas son buenos para mejorar los conocimientos informáticos de los empleados, porque su propia esencia consiste en evaluar los riesgos de fuga de información. Para ello se analiza la actividad en los canales a través de los cuales se pueden filtrar datos: correo electrónico, mensajería instantánea y web directamente. A partir del contenido y el contexto (protocolo, actividad, tipo de aplicación, etc.), el programa genera además una política de seguridad, según la cual bloquea los mensajes, informa de las infracciones, etc. Es importante entender que, a diferencia de los cortafuegos, las soluciones DLP no bloquean completamente la transferencia de datos, sino que intentan analizar la actividad humana en la red, lo que deja a las empresas con una probabilidad aún mayor de fuga de datos".

Presidente del Club de Jóvenes Empresarios, Director General de CloudSolutions:

"Todas las empresas tienen interés en proteger la información. Los enfoques para la implementación de soluciones de DLP pueden ser diferentes, pero la "pérdida de información" en el siglo XXI es casi igual a la "pérdida de dinero", por lo que es lógico suponer que la idea de minimizar ese riesgo de pérdidas existe en todas las empresas, independientemente de su tamaño."

"El interés de las empresas por los sistemas de DLP no sólo depende de la escala de su infraestructura informática y del volumen de datos procesados. Principalmente, por supuesto, depende de la existencia de información, cuya filtración puede causar daños, y de la presencia de amenazas actuales. Así, el interés por la DLP puede ser igual tanto en las grandes como en las pequeñas empresas. Pero las grandes empresas tienen más oportunidades y capacidades para utilizar estos sistemas".

Jefe del Departamento de Seguridad de la Información de "Expectronica" (I-Techio Inc.):

"En primer lugar, las empresas con fondos suficientes, independientemente de su tamaño, están interesadas en los sistemas de DLP. Pero hay que tener en cuenta que la DLP es sólo una herramienta, y que el hecho de que se utilice realmente para el control y la prevención de fugas o se quede sólo en un "plano" depende de muchos factores: las ambiciones personales de los directivos responsables de la seguridad de la información, la experiencia del equipo del proyecto y la definición clara del problema. La calidad de la aplicación es crucial para la eficacia del control y la prevención de fugas. Hay que tener en cuenta que el propio alcance de los sistemas DLP es muy delicado, la implantación de este tipo de proyectos en muchas empresas se ve frenada por los tecnicismos burocráticos y legales y el alto riesgo reputacional."

Director Comercial de SenseBox:

"Las soluciones de DLP son utilizadas sobre todo por las grandes empresas. Y estos sistemas se diseñaron en un principio precisamente para satisfacer los requisitos de la compleja maquinaria corporativa. Pero la necesidad de protección de datos es la misma para todos: desde las startups hasta las grandes empresas. Y lo importante aquí no es la decisión en sí sobre el nivel de software que utilizan los empresarios, sino el enfoque de la seguridad.

Los sistemas DLP surgieron inicialmente de lo que podría llamarse enfoque paranoico de la seguridad: cuando tratamos de hacer imposible o impedir cualquier acción. Por ejemplo, imaginemos que a la entrada de un centro comercial ponemos un guardia de seguridad con un perro, un torniquete, un detector de metales e introducimos registros corporales para cada comprador. Como producto de software, la DLP es algo parecido. En los países civilizados la gente confía en las leyes, la policía y los tribunales. Y no es necesario construir vallas: se puede ir a cualquier parte. En caso de que alguien se atreva a infringir la ley, se activa el mecanismo de defensa habitual: la policía llega y el sistema de aplicación de la ley garantiza la inevitabilidad del castigo.

Nadie le impide restringir el acceso a la información confidencial de determinados empleados mediante una ley, una cláusula en el contrato de trabajo y duras sanciones. Si estas sanciones y castigos superan el beneficio del posible robo de información, la mayoría de los empleados abandonarán la idea de robar".

"En mi opinión, las grandes empresas están más interesadas en utilizar soluciones de DLP, entienden mejor para qué puede ser útil un sistema de este tipo y tienen recursos suficientes para el uso eficaz de los sistemas de DLP. Recientemente han aparecido en el mercado soluciones que utilizan los avances científicos en inteligencia artificial, aprendizaje automático y análisis de big data para facilitar el trabajo de los profesionales de la seguridad y reducir el nivel de sus requisitos de cualificación. El tiempo demostrará cómo estas soluciones contribuirán a una mayor difusión de los sistemas de DLP entre las pequeñas y medianas empresas."

"Las empresas medianas y grandes (especialmente si se trata del sector financiero) suelen estar más interesadas en el uso de sistemas DLP. Para una empresa en crecimiento resulta cada vez más difícil controlar las transacciones y la privacidad de los empleados. Y en esta situación, se puede pasar por alto fácilmente la fuga de información o que algún empleado (que por alguna razón perdió su lealtad) tenga la intención de perjudicar a su negocio. Desgraciadamente, ningún sistema es capaz de evitar por completo los ataques directos a los datos de la empresa, pero puede complicar significativamente el proceso, haciendo que las filtraciones sean menos rentables y más arriesgadas para el infractor."

Jefe de Seguridad de la Información de KRAKE:

"Todos los participantes en el mercado (grandes empresas y PYMES) están interesados en los sistemas DLP porque los riesgos de fuga de información están presentes en todas las empresas. Al mismo tiempo, las consecuencias de la fuga de datos para el sector de las PYMES pueden ser mucho más devastadoras que para las grandes empresas. Para las primeras, una fuga puede suponer fácilmente la pérdida de una ventaja competitiva clave y, en consecuencia, el cierre del negocio. En el caso de una gran empresa, lo más frecuente es que se trate de pérdidas de reputación y financieras."

"El interés por utilizar no sólo sistemas DLP, sino también cualquier otra solución de seguridad de la información, depende del tamaño de la empresa, pero sobre todo de su nivel de madurez. Cuanto más consciente es una empresa del valor de sus datos (para sí misma y para sus competidores), más conscientemente aplica la estrategia de seguridad de la información en materia de protección de datos. La lista de acciones necesarias en este caso consiste no sólo en la introducción de medios de seguridad de la información, sino en la reforma de los procesos empresariales para reducir el riesgo de fuga intencionada o pérdida accidental de datos.

Y sólo cuando se definen los procesos empresariales en los que se instalará el sistema de DLP, su implantación empieza a verse afectada por el tamaño de la empresa. Es obvio que una empresa grande puede gastar más dinero en un proyecto de este tipo, pero los requisitos técnicos también serán mayores".

Las opiniones de los expertos han vuelto a dividirse. Por un lado, algunos creen en la falta de relación entre el tamaño de la empresa y su nivel de interés en el uso de la DLP, por otro lado, algunos expertos creen que estos sistemas son más demandados en las grandes corporaciones. Sin embargo, en ambos casos los expertos coinciden en que hay pequeñas empresas que ven la seguridad de la información como una de sus prioridades y, por tanto, pueden ser consideradas como usuarios potenciales de los sistemas de DLP. Entonces, ¿cuáles son los requisitos de las pequeñas empresas para este tipo de sistemas?

"Los grandes clientes suelen elegir una solución DLP "inteligente" y cara. Las pequeñas empresas suelen estar dispuestas a trabajar con estos sistemas en modo "manual", sin posibilidad de automatización, si esta solución es mucho más asequible. Por eso, en las pequeñas y medianas empresas todos los incidentes se investigan a posteriori".

"Si se omite la cuestión obvia del precio del software, que en este segmento de la seguridad de la información es la más importante, y se centra en la funcionalidad, hay que dar preferencia a un software de seguridad más "omnívoro". A menudo sucede que las pequeñas empresas no pueden permitirse unificar los elementos del sistema de información y lo construyen literalmente con lo que tienen a mano. Por supuesto, la consecuencia de este enfoque sería la diversidad de equipos utilizados en el sistema informático".

"La lista de requisitos que las empresas aplican a los sistemas de DLP se basa principalmente en las características específicas de la infraestructura informática de la empresa, incluidos los métodos de transferencia de información utilizados, así como su volumen. Esto permite al consumidor determinar los canales de transmisión de datos que serán controlados por el sistema de DLP. Las funciones de control más populares son la supervisión de los correos electrónicos, las unidades extraíbles, las URL, la mensajería instantánea y la impresión. Además, para muchas empresas la elaboración de informes del sistema de DLP suele ser importante, ya que es la herramienta clave para demostrar a los ejecutivos la eficacia del sistema de DLP implantado".

"Los representantes de las grandes empresas suelen tratar de alcanzar objetivos específicos con la ayuda de la DLP: es probable que dicho sistema se integre en el paisaje informático ya establecido con una gran

cantidad de otros componentes y soluciones para la protección de la información. En cambio, el segmento de las pymes quiere ver las soluciones de DLP como una especie de "multiherramientas" que resuelven varios problemas relacionados con la seguridad de la información. Otro requisito importante es la facilidad de implantación y el mínimo personal de apoyo necesario".

"El principal requisito de las empresas más pequeñas es el precio mínimo. Sin embargo, el desarrollo de sistemas DLP puede llevar bastante tiempo y requiere una actualización constante."

"Las pequeñas empresas intentan comprar una solución de bajo coste con una implantación extremadamente sencilla que combine la funcionalidad de varias soluciones. Se centran en soluciones antivirus, sistemas de control de tráfico y productividad de los empleados, que a menudo contienen funciones simplificadas de DLP. En las pequeñas empresas, la protección de la información no suele estar incluida en los costes operativos".

"Entre los principales requisitos que las pequeñas empresas exigen a las soluciones de DLP se encuentran la asequibilidad, la facilidad de implementación y soporte, así como el cumplimiento de los requisitos legales. Desde el punto de vista de las funciones la pequeña empresa espera que los sistemas de DLP sean capaces de supervisar la impresión y la correspondencia electrónica de los usuarios (tanto dentro de la red de la empresa, como con el uso de los servicios postales de Internet como gmail.com o mail.ru), bloquear la transferencia de archivos a unidades externas o servicios de intercambio de archivos y analizar el uso que hacen los empleados de las redes sociales y la mensajería instantánea."

"Las pequeñas empresas tienen recursos muy limitados. Esto se aplica al presupuesto de seguridad de la información y al número de personal especializado. Por regla general, las pequeñas empresas contratan a uno o dos especialistas en informática que resuelven todos los problemas relacionados con la informática y la seguridad de la información en distintos grados."

A este respecto, los expertos fueron prácticamente unánimes. Los principales factores a la hora de seleccionar un software de seguridad de la información para las pequeñas empresas son su coste y su facilidad de implantación. Esto se debe al hecho de que las pequeñas empresas, en comparación con las grandes, tienen recursos financieros y humanos limitados. La consecuencia de esta situación es el deseo de conseguir un software multifuncional de bajo coste que pueda ser fácilmente implementado en la infraestructura corporativa por uno o dos miembros del departamento de TI.

Sin embargo, en el mercado actual existen algunos programas bastante funcionales que pueden ayudar a su empresa en la protección de la información. Y algunos de ellos incluso están disponibles de forma gratuita.