Los últimos años han sido bastante movidos en el mundo entero en cuestión de protección de datos. Gran parte de la creciente atención que ha tomado el tema se debe a eventos noticiosos como las revelaciones de Edward Snowden sobre los programas de vigilancia de la Agencia Nacional de Seguridad (NSA), o más recientemente la publicación de información de la empresa Hacking Team donde se evidenció que gobiernos, algunos señalados por violar derechos humanos e incluso el de Colombia, utilizan herramientas de este tipo sin contar con controles estrictos que aseguren que no se verán hechos lamentables como las chuzadas ilegales. Debemos aprovechar esta coyuntura para visibilizar las áreas de seguridad de la información y crear conciencia sobre la importancia de proteger el activo más valioso: la información.
No se quedan atrás en la recopilación de datos personales empresas de otros sectores. ¿Recuerda usted cual fue la última compra que hizo en la que no le pidieron su nombre, cedula, teléfono, dirección, entre otra información? O se ha preguntado por qué le llegan correos de Amazon, eBay y otros sitios de e-commerce ofreciéndole libros, gadgets u otros artículos tan afines a sus gustos.
El crecimiento del cibercrimen es otro factor a considerar. Solo en lo que va corrido de este año hemos visto un amplio cubrimiento en los medios de por lo menos cinco grandes casos de robo de información y, prácticamente todos los días vemos artículos y notas en los principales diarios y publicaciones de negocios sobre ello. El objetivo del ataque de turno es el sector salud, pues los datos que manejan han ganado valor para los delincuentes. Estos además de contener información de identificación personal (PII-Personally Identifiable Information por su sigla en inglés) están usualmente acompañados de datos financieros, estado de salud del paciente, tratamientos o medicamentos, lo que permite una mayor baraja de aprovechamiento por parte de los delincuentes.
Es tiempo de hacerse notar
Desafortunadamente, la seguridad de la información es un tema que todavía no es tomado con suficiente importancia y relevancia por parte de los directivos de las organizaciones. Según una encuesta de ISACA y el Instituto de Auditores Internos (IIA, por sus siglas en ingles) tan solo el 14% de los miembros de la junta están activamente involucrados en asuntos relacionados con la seguridad de la información de la empresa. Por esto, la notoriedad que ha ganado la protección de los datos ha sido de gran utilidad. Ha abierto los ojos de la alta dirección y de personas de diferentes áreas de negocio en muchas empresas y las ha puesto a pensar en la importancia que tiene tanto para el “core” como para la reputación empresarial la seguridad de la información y, no solo la personal sino aquella sensible y sujeta a regulaciones.
Y es que casos como el de Sony a finales del año pasado, con la publicación de películas que estaban próximas a estrenarse, correos electrónicos del presidente y otros ejecutivos e información financiera y de proyectos a realizarse, dejan en evidencia lo que puede costarle a una empresa la falta de controles más estrictos sobre su información sensible.
Los profesionales de seguridad de la información debemos aprovechar este momento y reforzar el mensaje dentro de las organizaciones pues cuando las personas sienten que estos temas afectan su vida directamente, como en la actualidad, es que reconocen las necesidades. No debemos desaprovechar toda posible oportunidad de comentar a los directivos sobre los casos de pérdida o robo de información personal, sensible o regulada y de las consecuencias que esto ha traído a las organizaciones involucradas.
Busque que la junta directiva o la alta dirección le de oportunidad de presentar en su próxima reunión los riesgos a los que se enfrenta la organización. Haga un análisis de lo que esta pasando en su industria en particular y como esta preparándose su empresa para enfrentar los retos. Claro, no puede llegar a mostrarles problemas, adelántese y tenga preparada una estrategia de protección de datos integral.
Incluya los temas legales requeridos por la Ley 1581 de protección de datos. Revise que requiere su empresa para cumplir con regulaciones como PCI DSS y que opciones existen para facilitar la implementación y gestión de estas. Evalúe controles tecnológicos como la autenticación fuerte, el cifrado de bases de datos, correo electrónico y de puntos finales, la tokenización y la gestión de dispositivos móviles. Por último, no deje por fuera estrategias para mejorar el conocimiento de los usuarios finales pues como es bien sabido y bastante “trillado” las personas son el eslabón mas débil de la cadena.
