Por Matthew Rosenquist, Analista estratégico en Ciberseguridad de Intel Security
Las fugas de datos son comunes. Toda organización que maneja datos confidenciales o privados, debe tener una capacidad de respuesta adecuada ante un incidente. Muchas compañías cuentan con un conjunto de procedimientos básicos, mientras que otras mantienen un conjunto de personas y procesos maduros. Un pequeño porcentaje de las organizaciones a lo largo de los años, han perfeccionado sus capacidades a un nivel profesional. Saber dónde se encuentra y cómo se puede mejorar es la clave para encontrar el nivel adecuado de preparación para la seguridad de la información.
Las fugas de datos son una epidemia
La industria de la salud fue golpeada en 2015. Una cantidad récord de archivos de salud que son confidenciales, fueron sustraídos o desaparecieron. Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EU, alrededor del 35% de la población de los Estados Unidos tuvo sus registros de salud expuestos en 2015.
El gobierno y las organizaciones financieras y de tecnología, y también fueron víctimas. En total, más de 707 millones de registros fueron perdidos o robados en 2015, de acuerdo con el Índice de Niveles de Violaciones de Gemalto. En realidad, ninguna compañía está a salvo.
Esta frecuencia es la razón por la cual es importante no sólo contar con controles preventivos robustos, sino también con un buen conjunto de procesos y recursos para responder a un incidente. La respuesta a crisis adecuada puede limitar los daños y prevenir las recurrencias.
Respuestas a una fuga de datos
Se emplean controles básicos para gestionar la crisis y cerrar la vulnerabilidad de las fugas. Esto es lo mínimo. Muchas empresas carecen de planificación e instalan equipo después de que se detecta la primera gran fuga de datos. Sin embargo, este escenario es un caos. El tratar de lidiar con una situación poco familiar, mientras que se está bajo el escrutinio de los clientes, reguladores y ejecutivos, puede ser una pesadilla. Este nivel de capacidad suele ser lento y se enfoca exclusivamente en aspectos de una única fuga en particular.
La gerencia comúnmente puede ser mal informada en el sentido de que esto fue un evento puntual y nunca volverá a suceder. Las órdenes son las de encontrar este problema, resolverlo y volver a las actividades normales. La debilidad radica en no comprender que la vulnerabilidad es probablemente sistémica. Tapar un agujero en la represa con un dedo, no sirve de nada si se ignoran todas las demás grietas.
Las capacidades maduras usualmente son señal de la experiencia. Esas compañías han sufrido fugas de datos antes, y se dieron cuenta de que necesitaban buscar otras debilidades para estar preparadas para las siguientes. Este abordaje representa una forma realista de pensar, aunque no es muy popular con los ejecutivos. Ellos preferirían no tener ningún incidente, y posteriormente se dan cuenta de que el costo de dichos controles sería exageradamente caro. Así que buscan un equilibrio. Estas organizaciones realizan evaluaciones de riesgo para encontrar vulnerabilidades en su manejo de datos, pueden optar por pagar un seguro contra violaciones, y tendrán claramente establecida la responsabilidad interna.
Las capacidades contra fugas de datos a nivel profesional se encuentran en las organizaciones que comprenden el valor de sus datos, la conformidad regulatoria y la confianza de sus clientes y asociados. Los mejores equipos de consultores externos también poseen estas habilidades. Ellos pueden zambullirse y abordar todos los aspectos, pero por un precio. Las organizaciones de clase profesional protegen cuidadosamente la información bajo su control, pero también toman medidas serias para la detección de violaciones y la respuesta rápida. Ellas planifican y prueban periódicamente sus capacidades de respuesta, trabajando para mantenerlas actualizadas con los cambios en negocios e infraestructura. Los expertos trabajan con los equipos de producción para ayudar a establecer controles de compensación, de manera que los negocios puedan continuar funcionando, incluso durante un incidente. Por último, trabajan para mantener los costos bajos y afinar las capacidades para mantener el equilibrio óptimo de seguridad corporativa, productividad y costos.
El nivel correcto
No existe un nivel universal de preparación adecuado. Cada organización es diferente. Las compañías tienen diferentes apetitos de riesgo, diversos requisitos reglamentarios y supervisan distintos tipos de datos. En general, mientras más serias sean las consecuencias de una fuga de datos, mayor debe ser el grado en que una organización debe considerar niveles maduros o profesionales.
Los datos son valiosos y violaciones seguirán produciéndose. Ninguna organización es inmune. Cuando fallan los controles preventivos, la rápida detección y la respuesta competente son necesarias para minimizar las pérdidas inmediatas y a largo plazo.