CA presenta las conclusiones de un estudio europeo sobre seguridad TI que revela que sólo el 28% de las organizaciones del viejo continente tiene implantada alguna tecnología de prevención de pérdida de datos (DLP en sus siglas en inglés). Ante este hecho, la multinacional alerta que si no se toman las medidas necesarias para identificar los datos confidenciales o sensibles de toda la empresa y para protegerlos ante su pérdida o uso indebido, las organizaciones corren el riesgo de graves consecuencias como el no cumplimiento de políticas o regulaciones, daños a la reputación de su marca y la reducción de su competitividad.
Según este informe, los departamentos de TI se esfuerzan por responder a cuestiones relacionadas con el cumplimiento como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma de seguridad de la información ISO 27001 pero la falta de tiempo y de recursos, seguidos de la gran cantidad de procesos manuales, hace que los responsables de esta área tengan dificultades para resolver los temas normativos. De hecho, la mayoría de las empresas interrogadas admite que carece de una “visión de cumplimiento”, algo que podría resolverse fácilmente si llevaran a cabo el seguimiento y control de sus datos de manera más efectiva. Sin embargo, esto parece no ser prioritario: el ‘seguimiento del uso de los datos’ no se considera un obstáculo para el cumplimiento de normativas.                                                 Por otro lado, el malware sigue siendo la principal preocupación para los gestores de la seguridad TI y, normalmente, se combate con soluciones de seguridad perimetral y control de contenido entrante. El resto de las principales amenazas citadas están relacionadas con el uso de los datos dentro de la organización: uso de Internet, gestión de datos sensibles o confidenciales y la actividad de usuarios internos y externos. Las tres tienen en común que comparten datos entre los usuarios, a menudo a través de la Red.
Solución: Arquitectura orientada al cumplimiento Una arquitectura orientada al cumplimiento podría ayudar a aliviar el problema de la pérdida de datos porque enlaza el uso de los datos con las personas a través de políticas de aplicación obligatoria. No en vano, se trata de un conjunto de políticas y mejores prácticas que se hacen cumplir siempre que sea aplicable con tecnología, minimizan la posibilidad de pérdida de datos y proporcionan un registro de auditoría para poder investigar las circunstancias en caso de violación de la seguridad. Pero para que una arquitectura orientada al cumplimiento sea efectiva debe constar de tres elementos. En primer lugar, soluciones de gestión de identidades y accesos que permitan comprender las funciones y responsabilidades de las personas, definir y hacer cumplir sus privilegios (sólo el 24% de las organizaciones europeas cuenta con un sistema de gestión de identidades y accesos completo). En segundo lugar, es necesario poder localizar y clasificar los datos (sólo el 50% afirma disponer de un sistema para ello). El tercer y último elemento es una manera para hacer cumplir las políticas que enlacen las funciones o roles de las personas con el uso que hacen de los datos.
Las organizaciones que adoptan todos estos elementos obtienen los beneficios de este planteamiento de distintas formas:
• El 41% de los encuestados con un sistema completo de gestión de identidades y accesos no tiene problemas con la cancelación segura de los derechos de acceso de los empleados; ese porcentaje baja al 3% para aquellas compañías que no cuentan con semejante sistema.
• Más del 90% de las organizaciones que han implantado tecnología DLP afirma que está bien preparada para proteger su propiedad intelectual y los datos personales, mientras que sólo el 26% de los que no tienen DLP reconoce que lo está.
• Una arquitectura orientada al cumplimiento no tiene que inventarse de cero, sino que puede basarse en estándares de seguridad ampliamente adoptados, como la ISO 27001. La encuesta revela una fuerte correlación entre ambos: el 43% de las organizaciones que ha adoptado el estándar ISO 27001 cuenta con una solución completa de gestión de identidades y accesos, y el 49% también utiliza herramientas de DLP. Por lo tanto, es evidente que estas tecnologías pueden hacer que una organización dé un salto importante hacia un mejor cumplimiento de las regulaciones.
A medida que las organizaciones adoptan la nube informática para procesar y almacenar datos en una infraestructura gestionada por terceros tienen una mayor necesidad de aplicar políticas de seguridad a nivel de datos. La encuesta de CA subraya que la seguridad informática es un factor clave para hacer posible el uso de «cloud computing, la segunda puntuación más alta después de «uso de la virtualización” como tecnología clave para facilitar el cloud computing). Las herramientas DLP ayudan a comprender la sensibilidad de los datos y permiten tomar decisiones en tiempo real sobre lo que se puede y lo que no se puede procesar y almacenar en cada entorno cloud.
Variaciones del mercado
La tecnología DLP está más implantada entre las compañías de telecomunicaciones y medios de comunicación (37%), probablemente por el valor relativamente alto que otorga al uso seguro de los datos, mientras que en el sector industria es donde está menos implantada (18%). Dada la responsabilidad que tienen las administraciones públicas sobre los datos de los ciudadanos y las organizaciones de servicios financieros sobre los datos confidenciales que están en su poder, los bajos niveles de implantación que se registran en este ámbito (26%) deberían ser una preocupación para los organismos reguladores. El uso limitado de la tecnología DLP en el sector industria quizás explica porqué este segmento se siente menos preparado para proteger la propiedad intelectual, en particular en una actividad donde tiene tanta importancia.
Sobre el estudio
El informe, titulado You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness, ha sido realizado por la firma de investigación Quocirca, en nombre de CA, en 14 países: Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia. En la segunda mitad de 2009 se llevaron a cabo un total de 270 entrevistas a directores, responsables de seguridad y administradores de TI de empresas de los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.
