Hacia un cambio de foco en las políticas de protección de la seguridad

25 Ene 2005 en Seguridad

Hasta ahora, la mayoría de las políticas de seguridad corporativas se centraron en mantener a los sujetos peligrosos fuera del perímetro de la red para evitar su entrada. Pero ahora, según lo define Jim Nisbet, Chief Technology Officer de la firma Tablus Inc., “el peligro que encierra lo que sale de la empresa excede al que pueda crear un atacante clásico.”
Las leyes, incluso en nuestro país, ya se ocupan de responsabilizar a las empresas por la fuga de información privada de personas o la falta de protección de sus datos. La norma ya popular en las empresas de origen norteamericano, conocida ocmo Sarbanes Oxley Act, es el ejemplo más claro del impacto que una regulación puede tener sobre este tema.
En los EE.UU., ya existen fechas tope para que los diferentes sectores industriales cumplimenten los requerimientos de las regulaciones específicas de su actividad. Las auditorías de seguridad involucran a todo el tráfico de la red, comunicaciones locales y a través de Internet, etc.
Un proyecto dirigido a la reducción de las probabilidades de fuga de información comienza por un análisis de riesgos; sigue con la identificación de las áreas problemáticas y luego con el establecimiento de políticas. Todo esto precede a la búsqueda de una solución tecnológica propiamente dicha.
Así, llegamos a una nueva categoría de productos como Vericept Corp., empresa que desarrolla productos de “compliance” para las diferentes industrias, incluyendo a algunas muy delicadas como la del cuidado de la salud. Otro recurso interesante es el de la protección de los emails mediante herramientas de encriptado.
En los EE.UU. y algunos países de Europa, las empresas que no protegen los datos de sus clientes, empleados, proveedores, pacientes, etc., sufren importantes penalidades o multas. Pero lo más importante es el daño a la reputación de esas empresas que, manejando información confidencial, han sido negligentes en cuanto a su protección.
Además de la implementación de una solución o esquema de seguridad para evitar la fuga de datos de la organización y del establecimiento de políticas adecuadas, tenemos a otro punto de importancia: la educación, sin la cual no se puede pensar en ningún final feliz para estos proyectos.
Los empleados fijos, temporarios, proveedores, contratistas y otros colaboradores de una organización, deben ser vistos como a una población de usuarios involucrados en el problema. Es importante que todos ellos tengan presente un mismo código de comportamiento en lo que respecta a procedimientos de seguridad.