No se quedan atrás en la recopilación de datos personales empresas de otros sectores. ¿Recuerda usted cual fue la última compra que hizo en la que no le pidieron su nombre, cedula, teléfono, dirección, entre otra información? O se ha preguntado por qué le llegan correos de Amazon, eBay y otros sitios de e-commerce ofreciéndole libros, gadgets u otros artículos tan afines a sus gustos.
El crecimiento del cibercrimen es otro factor a considerar. Solo en lo que va corrido de este año hemos visto un amplio cubrimiento en los medios de por lo menos cinco grandes casos de robo de información y, prácticamente todos los días vemos artículos y notas en los principales diarios y publicaciones de negocios sobre ello. El objetivo del ataque de turno es el sector salud, pues los datos que manejan han ganado valor para los delincuentes. Estos además de contener información de identificación personal (PII-Personally Identifiable Information por su sigla en inglés) están usualmente acompañados de datos financieros, estado de salud del paciente, tratamientos o medicamentos, lo que permite una mayor baraja de aprovechamiento por parte de los delincuentes.
Es tiempo de hacerse notar
Y es que casos como el de Sony a finales del año pasado, con la publicación de películas que estaban próximas a estrenarse, correos electrónicos del presidente y otros ejecutivos e información financiera y de proyectos a realizarse, dejan en evidencia lo que puede costarle a una empresa la falta de controles más estrictos sobre su información sensible.
Los profesionales de seguridad de la información debemos aprovechar este momento y reforzar el mensaje dentro de las organizaciones pues cuando las personas sienten que estos temas afectan su vida directamente, como en la actualidad, es que reconocen las necesidades. No debemos desaprovechar toda posible oportunidad de comentar a los directivos sobre los casos de pérdida o robo de información personal, sensible o regulada y de las consecuencias que esto ha traído a las organizaciones involucradas.
Busque que la junta directiva o la alta dirección le de oportunidad de presentar en su próxima reunión los riesgos a los que se enfrenta la organización. Haga un análisis de lo que esta pasando en su industria en particular y como esta preparándose su empresa para enfrentar los retos. Claro, no puede llegar a mostrarles problemas, adelántese y tenga preparada una estrategia de protección de datos integral.
Incluya los temas legales requeridos por la Ley 1581 de protección de datos. Revise que requiere su empresa para cumplir con regulaciones como PCI DSS y que opciones existen para facilitar la implementación y gestión de estas. Evalúe controles tecnológicos como la autenticación fuerte, el cifrado de bases de datos, correo electrónico y de puntos finales, la tokenización y la gestión de dispositivos móviles. Por último, no deje por fuera estrategias para mejorar el conocimiento de los usuarios finales pues como es bien sabido y bastante “trillado” las personas son el eslabón mas débil de la cadena.