PREVENCIÓN DE FUGA DE INFORMACIÓN EN LAS EMPRESAS

Actualmente uno de los grandes problemas es la administración correcta de la información en las empresas, sin embargo, uno de los principales es el Riesgo de Fuga de Información, este problema siempre ha existido en las empresas, pero, con el uso de las nuevas tecnologías, el procesamiento y almacenamiento de grandes volúmenes de datos, el impacto de una filtración de acceso es mucho mayor. Además, el incremento en el uso de dispositivos móviles personales y corporativos, para acceder a los recursos de la empresa, incrementa el riesgo para la seguridad de nuestra información.

La fuga de información se puede producir de forma accidental: pérdida de un portátil, envío de información por error, en otros casos. Pero también puede tratarse de un suceso provocado, por ejemplo por algún empleado enojado con la empresa que filtre información, o también por medio de otras técnicas, como los ataques llevados a cabo por hackers o personal mal intencionado por medio de ingeniería social, que hayan propiciado el robo de la información para dañar la reputación de la empresa o con fines económicos (secuestros de servidores de datos).

La prevención es la primera barrera contra la fuga de información. Pero, ¿Cómo podemos prevenir este tipo de riesgos?

Para prevenir este tipo de riesgos, debemos analizar el tipo y el valor de la información a proteger, así como el posible impacto económico que pueda causar en nuestro empresa su robo o pérdida, ya que puede tener distintas consecuencias en función del tipo de información y del tipo de organización. Por lo que sugerimos: CONOCER, CLASIFICAR, SEGURIDAD y PLAN DE ACCIÓN en la administración de la INFORMACIÓN.

1. Conocer la información que administra la empresa. Esto debe hacerse a través de entrevistas y reuniones con el personal, identificar los equipos de cómputo que contienen información confidencial, con valor para empresa y para nuestra competencia.

2. Clasificar según su criticidad, según un criterio razonable y unificado. El tratamiento de la información nos ayuda a otorgar una evaluación rápida, considerando: Uso, Objetivo y su finalidad, Usuarios de la información, Almacenamientos – Físico o Electrónico, y quienes pueden acceder a su impresión.

3. Determinar su grado de seguridad, ¿es alto el riesgo de pérdida de información?, ¿y el de fuga o robo de información?, ¿puede ser alterada sin autorización?, ¿es almacenada en USB, Disco, Nube, enviado por correo electrónico?, son las preguntas que debemos formularnos para conocer el nivel de protección de la información.

4. Establecer un plan de acción para disminuir el riesgo y fortalecer la seguridad de información.

Para mitigar este tipo de riesgos, podemos establecer diferentes tipos de acciones, en la protección en las actividades de los empleados en el manejo de la información. Para lo cual podemos destacar tres tipos de acciones mitigantes:

Tecnológicas. Las medidas básicas que podemos aplicar, independientemente del tamaño de la empresa, son:

  • cifrado de la información confidencial corporativa,

  • instalación, configuración y actualización de firewalls,

  • mantener actualizadas todas las aplicaciones de nuestros sistemas, etc.

Para empresas que requieran un nivel mayor de confidencialidad, protección de su información y exigencia legales a la hora de administrar y proteger su información, podemos aplicar otras medidas más avanzadas como son:

  • Soluciones de prevención de pérdida de datos o DLP (del inglés Data Loss Prevention) orientadas al monitoreo y control de la información;

  • Las destinadas a la gestión del ciclo de vida de la información o ILM (inglés Information Lifecycle Management) desde que esta es generada o elaborada hasta su archivado o destrucción final;

  • Las herramientas de control de dispositivos externos de almacenamiento, que están destinadas a controlar el acceso físico a puertos y dispositivos extraíbles como USB para evitar fugas de información.

Administrativas. Este tipo de medidas están estrechamente relacionadas con la forma en que se maneja o se trata la información. Por otro lado, tendremos que prevenir malas prácticas como compartir contraseñas o información confidencial en directorios de trabajo a las que tiene acceso toda la empresa. Estas situaciones suelen darse por falta de conocimiento del usuario y una mala difusión en la empresa de la Políticas de Seguridad y manejo de la información.

Cumplimiento - Legal Es importante que los empleados o proveedores que usan la información corporativa, cumplan las políticas de seguridad y manejo de la información; para ello podemos firmar acuerdos de nivel de servicio (SLA) con los proveedores y hacer que los usuarios firmen unos acuerdos de confidencialidad, en los que los que regulamos los aspectos relativos a la seguridad y la confidencialidad de la información en la prestación de un servicio, incluyendo las sanciones en caso de incumplimiento. Un punto importante, y de obligado cumplimiento, es el relacionado con el tratamiento de archivos electrónicos que contienen datos de carácter personal. Aplicando estas medidas, no solo cumpliremos con las leyes, sino que también mostraremos nuestro compromiso con el cliente en cuanto al manejo de la confidencialidad de su información y, en caso de que se produzca una fuga de información intencionada por parte de personal de la empresa, se tendrá el respaldo legal para llevar a cabo las medidas oportunas.

#COBIT #privacidad #datospersonales #RIESGOS #informacion #fraudes

Featured Posts
Próximamente habrá aquí nuevas entradas
Sigue en contacto...
Recent Posts
Archive
Search By Tags
No hay tags aún.
Follow Us
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Social Icon
  • Black Facebook Icon
  • Black Twitter Icon
  • Icono Google+ Negro
  • Black Instagram Icon

Hermosillo, México