La protección de datos, una asignatura pendiente en…

La protección de datos, una asignatura pendiente en las empresas

Febrero 2008 - PCWorld

Enviar un mensaje de correo electrónico con información confidencial a un destinatario equivocado, perder un dispositivo de almacenamiento con datos relevantes o desvelar información crítica o personal en sitios no lo suficientemente seguros, puede conllevar consecuencias muy negativas. Los delincuentes informáticos, siempre al acecho de nuevas formas para llevar a cabo sus malas intenciones, han visto en la deficiente protección de los datos un filón por explotar. Cuidar de la información que nos pertenece o a la que tenemos acceso y disponer de medidas de seguridad acordes, resultan aspectos clave para hacer frente a esta creciente amenaza para nuestros datos.

Un reciente estudio de IT Compliance Group, realizado a más de 450 organizaciones de todo el mundo, apuntaba que sólo una de cada diez organizaciones se encuentra en buena posición para proteger adecuadamente sus datos confidenciales. Junto a este sorprendente dato, otra de las conclusiones hacía referencia al hecho de que existe una correlación entre la protección de datos confidenciales y los resultados del cumplimiento de normas y políticas, de tal manera que las empresas que superan los objetivos establecidos para la protección de datos confidenciales coinciden en que también son las que ofrecen óptimos resultados en las auditorias de cumplimiento de políticas y normativas.

De hecho, tal y como sostiene Rocco Grillo, director gerente de prácticas sobre riesgo tecnológico en la empresa Protiviti, "la protección de los datos de clientes y empleados, además de la propiedad intelectual, nunca ha sido tan importante como ahora, debido al rápido incremento de los requisitos para el cumplimiento de políticas y normativas y a los riesgos para la reputación". Sin duda, estamos viviendo en un momento en el que la protección de la información que manejamos está alcanzando unos niveles hasta ahora desconocidos. Pero, ¿protegemos lo suficiente nuestra información?

LA IMPORTANCIA DEL DATO

Prácticamente cada día podemos leer información sobre algún nuevo estudio que pone de manifiesto las pérdidas que conlleva la deficiente protección de los datos y, de forma muy especial, para las empresas. Así, un informe de la firma de segundad Sophos realizado el pasado mes de noviembre apuntaba que el 70 por ciento de las empresas está preocupada por el hecho de que información sensible caiga en las manos equivocadas como resultado de una posible fuga de datos a través del correo electrónico. Además, un dato pone en alerta sobre la necesidad de establecer controles debido a que más del 50 por ciento de los empleados encuestados admitía haber enviado accidentalmente un mensaje de correo electrónico embarazoso o con datos críticos a la persona equivocada desde su puesto de trabajo.

Estos son sólo algunos ejemplos de la situación en la que muchas empresas se encuentran hoy en día y ante lo que se hace necesario poner recursos y medidas que eviten esta falta de protección de los datos. Y es que, aunque estas cifras son a nivel global, las empresas españolas no escapan a esta tendencia en lo que a la necesidad de medidas de seguridad de la información se refiere. Tal y como sostiene Sixto Heredia, director de marketing de Panda Security en España, "los datos son el activo más importante para una empresa y, por ello, protegerlos debe ser su principal prioridad. No obstante, la seguridad en las compañías españolas, especialmente en la PYME, sigue siendo una asignatura pendiente".

Sin embargo, el hecho de que los datos sean el activo más importante de las empresas, y que la cantidad que se almacena diariamente los convierta en vitales para el desarrollo de su negocio, hace que protegerlos sea una clara prioridad para los responsables de las organizaciones, y evitar así grandes pérdidas económicas e, incluso, el cierre del negocio. No obstante, desde Sophos, el responsable de desarrollo de negocio para el Sur de Europa, Martín Carvalho, sostiene que, por lo general, las empresas de nuestro país sí son conscientes de la necesidad de protegerse, especialmente de los peligros externos. "Están mucho menos concienciadas de lo que puede salir de su empresa, de la fuga de sus datos que puede ocurrir con acciones tan sencillas como involuntarias tales como enviar un mensaje de correo electrónico a una persona equivocada", apunta el responsable.

Sin embargo, las cifras no dejan lugar a dudas. De acuerdo con un estudio llevado a cabo por Recovery Labs, la gran mayoría de sus clientes afirma que utiliza medidas de seguridad para proteger su información, frente a un 3 por ciento que no dispone de ningún medio para garantizar sus datos. Además, más del 50 por ciento de los clientes encuestados cree que las medidas que emplea son suficientes. Sin embargo, como apostilla Juan Martos, director de laboratorio de Recovery Labs, "nuestra experiencia y trabajo diario nos demuestra que, aunque cada vez las empresas se preocupan más de proteger eficientemente su información, se siguen produciendo pérdidas de datos".

Las diferencias entre grandes corporaciones y la pequeña y mediana empresa son también notables en este sentido ya que, como sostienen desde RSA (la división de seguridad de EMC), mientras que las grandes compañías cuentan con múltiples capas de protección, perfeccionadas tras años de experiencia, la PYME puede carecer de redes o expertos web para prevenir las intrusiones y, además, tiene escasas políticas y procedimientos que ayuden a protegerse contra virus, software espía (spyware), o el robo de PC portátiles o datos críticos.

NECESARIA CONCIENCIACIÓN

Ante este panorama, la educación y concienciación de los empleados sobre las implicaciones de manejar datos críticos sin una protección adecuada, así como la falta de implantación de la tecnología necesaria para evitar la pérdida de información, son aspectos que sería necesario tener en cuenta para proceder a una auténtica protección de los datos.

Sin embargo, para Miguel Ángel Martín, arquitecto de soluciones de cliente de CA e ingeniero de sistemas certificado por la SNIA, "la recuperación de los datos es crucial para mantener la continuidad del negocio ante un incidente y cumplir con los requerimientos legales". Y es que, según una encuesta realizada por FreeForm Dynamics para CA a responsables de TI de empresas europeas sobre la gestión del riesgo de TI, las dos mayores preocupaciones de las empresas españolas son la pérdida de información crítica para el negocio y el uso ilícito de información confidencial. No obstante, la nota positiva de este estudio radica en que, cerca del 70 por ciento de los encuestados españoles respondió que está aumentando sus inversiones en TI para la gestión de la seguridad y de la información. En esta línea, el responsable de CA añade que, sin embargo, un área que las PYMES tienen poco atendida es la gestión de las identidades y accesos para controlar que sólo las personas con la debida autorización acceden a los datos y sistemas de la empresa. "Hay que tener en cuenta que ésta es otra de las fuentes importantes de amenazas a la integridad y seguridad de los datos de la empresa y, por tanto, es preciso establecer las medidas de protección adecuadas", explica el responsable.

TECNOLOGÍA PROTECTORA

Cada vez resulta más esencial garantizar que los controles basados en riesgos están implantados para evitar la pérdida y el robo de datos y que dichos controles se prueban de forma periódica. Así, las organizaciones que no implementen controles apropiados al riesgo y que no evalúen la efectividad y los controles técnicos con la frecuencia suficiente, estarán muy predispuestas a la pérdida y el robo de datos. En este sentido, Luis Fuertes, responsable de marketing de Symantec Ibérica, considera que la seguridad perimetral, compuesta por un antivirus y un cortafuegos, es lo que más abunda en las empresas. "A partir de ahí, depende mucho de la madurez de los departamentos de informática y seguridad el que se busquen otras formas de protección ante ataques internos y externos", destaca el responsable.

No obstante, un informe de Recovery Labs señalaba que el 46 por ciento de sus clientes opinaba que los antivirus, cortafuegos y copias de seguridad no son suficientes para garantizar la seguridad de los datos. Junto a esto, cabe destacar que las soluciones de recuperación ante desastres cada vez abundan más en las empresas y que contribuyen en mayor o menor medida a solventar las posibles incidencias que hayan podido acontecer en función de su mayor o menor complejidad. No obstante, para Roberto Llop, director comercial de RSA para el Sur de EMEA, hay tres conceptos fundamentales que, de no tenerse en cuenta, pueden tener un impacto importante en las empresas como son la confidencialidad, la integridad y la disponibilidad. En este sentido, las soluciones de backup y recuperación, continuidad del negocio y alta disponibilidad se erigen como fundamentales si una compañía quiere tener su información a buen recaudo.

Asimismo, los dispositivos UTM, para la gestión unificada de las amenazas, también van abriéndose camino en pos de una mayor seguridad de los datos que manejan las compañías.

No obstante, desde CA, Miguel Ángel Martín apunta que no todos los datos y las aplicaciones deben protegerse con la misma tecnología, puesto que existen diferentes opciones como la replicación síncrona o asíncrona, los snapshots, el balanceo de carga, la protección continua de datos o las copias de seguridad, que pueden ajustarse o no a los requisitos de cada empresa. "Es importante seleccionar la tecnología adecuada a la criticidad de los datos que vamos a proteger, ya que una selección equivocada puede suponer no proteger adecuadamente los datos y aplicaciones y, consecuentemente, aumentar los costes de la solución de alta disponibilidad de manera considerable", explica el responsable.

Sin embargo, desde Sophos sostienen que el mayor de los problemas sigue proviniendo del correo electrónico ya que tres de cada cuatro incidentes de seguridad de la empresa proceden de dentro y, sin embargo, tres de cada cuatro euros invertidos en seguridad se dedican a proteger contra lo que viene de fuera. Es por ello que Martín Carvalho apunta que hay que proporcionar, más allá de la seguridad, el control de las herramientas de ofimática. "A pesar de tener soluciones de seguridad conocidas, muchas empresas fallan en su integración. Es frecuente que las reglas de seguridad de una solución choquen contra las de otra y, por lo tanto, al acumular todos estos trozos de protección, se multiplique el coste de administración en una proporción, a menudo, insostenible para sus equipos de seguridad", destaca el responsable de Sophos. Elegir fabricantes que ofrecen un completo abanico de soluciones y tener muy en cuenta su integración, resulta fundamental.

En esta línea, el director general comercial de Zitralia, Manuel Arrevola, apunta que en esta problemática en el envío de información sensible, lo idóneo es realizarlo empleando tecnologías de cifrado de los datos. "Estas tecnologías de cifrado, basadas en certificados digitales e infraestructuras de clave pública, están ampliamente difundidas y son adecuadas para cualquier tipo de organización". El problema es, según este responsable, que muchas organizaciones han retrasado su despliegue o no tienen disciplina interna de utilizarlas.

Ante este panorama, no cabe duda de que la prevención es uno de los pilares básicos en cualquier estrategia de protección de datos. Pero, las empresas también deben aplicar una serie de principios que RSA identifica como comprender cuáles son los datos importantes para el negocio, conocer dónde residen los datos más sensibles, el origen y la naturaleza de los riesgos que les afectan, seleccionar los controles adecuados basados en políticas de riesgo y localización de la información, realizar una gestión centralizadas de la seguridad y no olvidar auditar su seguridad de forma constante para mejorarla.

LLEGA LA TECNOLOGÍA CPD

A pesar de la proliferación de soluciones de seguridad para la protección de datos, frente a los discos y cintas magnéticas, en los últimos tiempos, la tecnología CPD (Protección Continua de Datos) parece estar ganando terreno. En opinión del responsable de CA, Miguel Ángel Martín, las actuales necesidades de los negocios van más allá de la protección de datos ofrecida por los sistemas tradicionales de backup y restauración. "Además de proteger adecuadamente los datos, se hace necesario garantizar su rápida recuperación en caso de producirse un desastre. En este sentido, establecer una estrategia a distintos niveles que ofrezca a cada recurso y tipo de datos el grado adecuado de protección y la facilidad de recuperación según el valor que tiene para el negocio, es un aspecto clave que cada vez más compañías tienen en cuenta", explica Martín.

Así, la tecnología CPD que permite almacenar la información de forma continuada, guardando todos los cambios que se realiza, y permitiendo su recuperación en cualquier punto del tiempo, se erige como clave para el mantenimiento de la integridad de los datos. De esta forma, para Luís Castellanos, director general de IronGate, "la gran ventaja es poder recuperar los datos guardados en el backup en cualquier punto". Además, este responsable señala que, "si bien es una solución, no se trata de un sistema de protección contra las amenazas. En el mercado español parece estar teniendo un alza remarcable, pero no por ello las compañías tienen que obviar otros aspectos de la seguridad".

De acuerdo con el estudio de Freeform Dynamics antes mencionado, las empresas españolas encuestadas optan actualmente por el backup a cintas y el backup disco a disco. Sin embargo, para el responsable de CA, este panorama está cambiando ya que "la replicación distribuida de los datos y la protección continua de los mismos son dos de las tecnologías que más están creciendo".

De esta forma, esta tecnología facilita la recuperación de errores con mayor exactitud y garantiza que, en caso de desastre, no se pierda mucha información sino, como mucho, el fichero que en ese momento se estuviera utilizando y no hubiera guardado aún. Así, se pueden recuperar los datos hasta el instante anterior a que se produjera la corrupción de datos o hasta el anterior punto de consistencia. "Su implantación en el mercado español está siendo gradual, siendo ya una tecnología extendida en las grandes organizaciones y prácticamente no utilizada en las PYMES", explica desde RSA Roberto Llop.

CAPACIDAD INVERSORA

Sin duda, son ya muchas las compañías que han visto que la inversión en seguridad es algo básico para el mantenimiento de su negocio ya que, por ejemplo, una caída de sus sistemas puede significar pérdidas muy sustanciales.

De hecho, en el caso español, la implantación de nuevas normativas, como la Ley de Protección de Datos, están contribuyendo a que las empresas se conciencien sobre la necesidad de implantar políticas de seguridad específicas. No obstante, el responsable de marketing de Symantec en nuestro país destaca que un reciente informe de la compañía sobre la gestión de riesgos apunta que la mayoría de los encuestados espera sufrir algún tipo de incidente relacionado con la seguridad o con el cumplimiento de políticas y normativas en un período de entre uno y cinco años. Así, el 66 por ciento de los encuestados espera un importante incidente normativo al menos una vez cada cinco años, mientras que el 58 por ciento considera que sufrirá una importante pérdida de datos al menos una vez cada cinco años debido, entre otros factores, a apagones en el centro de datos, deterioro de los datos o problemas en los sistemas de seguridad.

No obstante, tal y como destaca desde IronGate, Luís Castellanos, "sigue existiendo una forma de pensar en los gastos de seguridad, no como una inversión sino como un costo y eso hace, efectivamente, que las PYMES no inviertan lo suficiente como para proteger los datos que manejan en su actividad". Esta falta inversora por parte de las pequeñas y medianas empresas es algo en lo que se muestran de acuerdo prácticamente la mayoría de expertos en seguridad. Así, diferenciando entre las inversiones que destinan a la seguridad las grandes empresas y las PYMES, Manuel Arrevola destaca que son los sectores de la banca y las empresas de telecomunicaciones las que están invirtiendo lo necesario, mientras que el sector de la industria y las pequeñas y medianas empresas en general, tienen todavía un largo camino por delante.

Sin embargo, desde Recovery Labs, Juan Martos, señala que, las empresas españolas de gran tamaño se preocupan de realizar copias de seguridad, además de disponer de planes de contingencia para evitar pérdidas de información y proteger sus datos en todo momento. No obstante, para este responsable, esta concienciación se va perdiendo a medida que se reduce el tamaño de la empresa, "ya que muchas veces se producen fallos múltiples que suponen una pérdida de información. Por ello, es fundamental contemplar en los planes de contingencia una compañía de recuperación de datos de confianza con el fin de no tener que tomar decisiones precipitadas en momentos en los que puede estar en juego la continuidad de la empresa".

Tampoco hay que olvidar que los recursos económicos que se destinan a la protección de la información no son tan valiosos en cuanto a la cantidad que se aplica sino que, como destacan los expertos, resulta de mayor importancia que se preste más atención a la adecuación de las soluciones a sus problemáticas específicas y a la capacidad de hacerlas evolucionar en el tiempo.

ALGUNOS CONSEJOS

Ante todo esto, hacer un análisis previo antes de adoptar cualquier política de seguridad y conocer los puntos críticos que la empresa debe mejorar en lo que a protección se refiere es, para Sixto Heredia, de Panda Security, algo fundamental. "Además, habría que distinguir qué datos son fundamentales para la empresa y, así, aportar a los mismos el mayor grado de protección posible. Por otro lado, hay que ver qué datos podrían restaurarse en caso de que hubiera una pérdida de los mismos", explica el responsable.

No obstante, dotarse de una completa solución de seguridad para estar protegidos frente a las muchas vulnerabilidades a las que día a día deben hacer frente las empresas, es un factor indispensable. Junto a esto, los expertos destacan, en lo que a la protección de los datos que manejan, la necesidad e importancia de realizar copias de seguridad que aseguren el mantenimiento de estos datos aunque otras medidas de protección fallen.

Asimismo, CA recomienda el uso de métodos tradicionales como backup basado en cinta o disco a disco para datos y aplicaciones junto con soluciones de replicación y protección continua de datos.

Junto a esto, Martín Carvalho destaca que "un consejo a tener en cuenta es buscar no solamente soluciones de seguridad sino empresas de segundad, es decir, compañías comprometidas en el soporte y la evolución de sus soluciones". Al hilo de esta cuestión no hay que olvidar que contactar con especialistas en seguridad e involucrarse en el proceso de asegurar su compañía adaptando los sistemas de seguridad al entorno que deben proteger, resulta también de gran relevancia.

No en vano, Luis Fuertes, señala que "desde Symantec pensamos que el panorama empresarial de las TI en la actualidad exige que la seguridad no se limite a soluciones tecnológicas o actuaciones puntuales. Lo ideal es que cada empresa, independientemente de su tamaño, disponga de un plan de seguridad integral que incluya protocolos de actuación estandarizados, formación de personal y soluciones tecnológicas que apoyen esta infraestructura".

En este marco, la realización de auditorias externas especializadas en la protección de datos también supone un paso más en la búsqueda de garantías de la integridad de los datos que manejan. Sin embargo, desde RSA destacan que las nuevas tecnologías permitirán proteger la información sin comprometer la disponibilidad efectiva y respaldando las políticas de seguridad corporativa.

Junto a esto, el siguiente paso que deberán dar las empresas es detectar de forma rápida dónde tienen su información confidencial y aplicar políticas de seguridad de forma automática. Sólo teniendo en cuenta estas consideraciones, las organizaciones podrán hacer frente a la creciente pérdidas de los datos de valor de sus compañías y evitar las enormes pérdidas económicas que de ello se deriva.