La cantidad de posibilidades que la tecnología nos brinda hoy en día para buscar, obtener, almacenar, manipular y compartir información, abre también brechas que permiten el robo de datos informáticos y de información en general, que no son necesariamente lo mismo (ya abordamos este tema en Diferencias entre seguridad informática y seguridad de la información). Cuando se trata de información confiada a nuestra empresa, nunca se está demasiado protegido.
“La información es poder”, dice el dicho, y siendo la información uno de los activos más sensibles, debemos ser rigurosos al tratarla, ya que en efecto existe siempre el riesgo de conceder a un agente un “poder” o una capacidad de incurrir en acciones no deseadas con la información que se nos encomendó proteger.
En este post veremos algunas acciones concretas enfocadas en proteger a nuestra compañía del robo de datos informáticos, lo que colateralmente tendrá un efecto positivo en el mantenimiento de la reputación de tu empresa y desde luego en tus ganancias. Seremos esquemáticos y las dividiremos en acciones técnicas, organizacionales, y legales.
Acciones contra el robo de datos informáticos
Técnicas
1.- Cifrar la información confidencial.
2.- Generar contraseñas robustas y poco predecibles con amplia variedad de caracteres.
3.- Utilizar el principio del mínimo nivel de privilegio al crear usuarios.
4.- Instalación pertinente, configuración ad hoc y actualización permanente de softwares típicos como firewalls, malwares y antivirus, y algunos más especializados como los software DLP (Data Loss Prevention) e ILM (Information Lifecycle Management), en caso de ser necesarios.
5.- Desarrollar aplicaciones, programas, sistemas o procedimientos bajo el esquema de Privacy by Design (Privacidad desde el Diseño).
6.- Respaldar periódicamente la mayor información posible, comenzando por la más crítica; al terminar, remover accesos después de su ciclo de vida o eliminar datos totalmente innecesarios.
7.- Hacer pruebas de intrusión para probar el nivel de seguridad informática actual.
8.- Unificar la comunicación y el manejo de datos implementando un SaaS (Software as a Service) con la debida capacitación de personal, que sirva como plataforma que centralice estos procedimientos y por tanto minimice las brechas y vulnerabilidades existentes cuando se trabaja con múltiples plataformas.
Organizacionales
1.- Informarte sobre el nivel de susceptibilidad al robo de datos informáticos en tu industria en específico; así sabrás qué nivel de protección necesitas (los bancos, por ejemplo, deben tener un marco de seguridad del más alto nivel, dada la naturaleza de los datos que manejan).
2.- Clasificar tus datos informáticos por nivel de criticidad.
3.- Definir roles de acceso a la información.
4.- Delimitar responsabilidades al manejar la información.
5.- Estipular mejores prácticas al navegar en internet e intercambiar información.
6.- Comunicar asertivamente las políticas de manejo de datos; confirmar que se conozcan y apliquen en todos los niveles.
7.- Formar una cultura de seguridad al aplicar recurrentemente todas las medidas mencionadas, tanto para empleados con trayectoria como para los que están en proceso de onboarding.
8.- Tener a la mano algún auditor externo que pueda dar siempre un punto de vista adicional al Director de TI, o incluso al área de Control Interno (en caso de que exista).
9.- Nunca asumir que se está exento de un posible ataque (que es cuando más vulnerable está una organización).
Legales
1.- Conocer y aplicar las normativas de la industria respecto al manejo de datos al interior de tu empresa.
2.- Firmar SLAs (Service Level Agreements), Acuerdos de No Divulgación o Acuerdos de Privacidad, tanto con terceros como con tus empleados, a fin de tener por escrito su declaración de conocimiento de las reglas a seguir al momento de manejar los datos.
3.- Sancionar a quienes incumplan; esto servirá como ejemplo para desincentivar posibles ataques futuros.
4.- Crear proceso de offboarding. Cuando un empleado deja la organización es recomendable llevar a cabo una entrevista de motivos para conocer las razones por las que se va; a partir de ahí se puede deducir la posibilidad de un evento de fuga o robo de información y así minimizar el riesgo de sufrir un robo informático o malversación de datos por parte del ahora ex-empleado. Para darle el cariz legal, se le puede pedir por escrito una declaración comprometiéndose a no usar la información y datos de la organización de la que deja de ser parte y que tome efecto a partir de su firma expresa.
Ahí tienes una variedad de acciones que pueden ayudarte a disminuir (mas nunca eliminar por completo) el riesgo de ser blanco de un ciberataque que intente robar los datos informáticos que maneja tu organización.
Si quieres conocer cómo reducir aún más los riesgos en tu organización, descarga de manera gratuita nuestra guía debajo y avanza hacia un nuevo nivel de seguridad en tu empresa.