Reseña del panel de Israel Peralta y Alfredo Sastré de la primera edición del evento “Fortalecimiento de las organizaciones en medio de una tormenta perfecta” organizado por Business Cuatro Cero y Autycom.
Hay poca conciencia en la protección de datos con la ciberseguridad, no hay una sensibilidad de que la información valiosa hay que manejarla con cuidado, no está tan claro para la organización y los colaboradores cuál es la información y que hay que hacer con ella. Por otro lado, el crecimiento de los datos es exponencial, datos no es igual a información, y estos eventualmente son la base para generar información. Hoy con todo este crecimiento en la nube de más tecnología, todo el desarrollo de las nuevas aplicaciones que hay, la generación de los datos crece de manera importante. Así como los datos crecen, también los ataques lo hacen en estos nuevos entornos de tecnologías de información quienes además están aprendiendo a administrar y definir ciertas políticas de seguridad.
Hoy en día el principal activo ya no es ni la computadora ni el servidor a veces ni la misma gente, lo importante es la información que tiene y el manejo de los datos, la empresa se mueve a través de los datos, el flujo de efectivo lo encuentras a través de la compra y la venta de los ingresos y egresos. A las empresas se les ha vendido la idea que con un respaldo están protegidas de los ataques lo cual es cierto, pero en esta nueva normalidad ya los atacantes no sólo van por encapsular la información sino también por robarla y usarla en tu contra, así que es necesario que los empleados entiendan que hay regulaciones que cumplir e instituciones que tienen que vivir para proteger la información ya que al final del día también hay información de los clientes y proveedores que se pueden poner en riesgo. Las empresas no tienen claro el impacto que tendría perder su información, la Ley Federal de la Protección de los Datos en México desde 2010 te obliga a tener un resguardo de la información, al tener acceso a ella estás obligado a resguardarlo.
Uno de los principales retos a los que las empresas se enfrentan es el crecimiento de los datos, la información es cada vez más necesaria por lo que las empresas de tecnología están promoviendo mucho el uso de Inteligencia Artificial, la analítica de datos para que del lado de mercado se entiendan mejor a los clientes, los datos cada vez son más relevantes y cada vez crecen más. Por otro lado, hay un costo asociado a mantener todos estos datos protegidos y no es algo trivial, las empresas deben identificar cual es su información más valiosa, es decir, aquella considerada un activo crítico, lo cual va cambiando con el tiempo porque hoy pueden ser críticos y mañana dejar de serlos. Entre otros retos hay que aprender a contrarrestar los ataques y los robos, tener un responsable de que la ley se respete, el sistema jurídico y legal tiene su propio reto, si al final no hay nadie que vele porque esa información esté protegida de un cliente la empresa en la operación lo puede perder de vista. La incorporación de las nuevas tecnologías es un gran reto que promueve la generación de más datos, sacando a relucir el cómo la transformación digital nos está llevando a la exposición de nuestros datos de una forma más crítica, “la inversión para generar conciencia en el usuario tiene que ser constante”.
Cuando se habla de protección de datos hay que pensar en tres grandes áreas:
- Datos que están en reposo. Herramientas de respaldo y recuperación
- Datos que están en transición (constantemente viajando). Herramientas para encriptar y monitorear el flujo de esa información que se considera sensible y estar bloqueando y avisando de que hay intentos de sacar información que no debería de salir.
- Datos que están en los dispositivos. Proteger puertos de los dispositivos móviles o en un USB información valiosa.
Además, hay herramientas para monitorear la integridad de los archivos o datos, si uno cambia en su contenido hay que avisar, ya que son archivos que no pueden cambiar. Y para conciencia, hay herramientas para capacitar al personal y los colaboradores evaluando el nivel de conocimiento relacionado con las políticas de confidencialidad y protección de la información. Hay que evaluar cual es la adecuada para cada empresa acorde al tamaño y la usabilidad, la informática debe ser algo que venga a concientizar y no que venga a estorbar. El ser humano es el principal activo, sino lo tienes capacitando constantemente hay que enseñarle cual es el impacto que puede tener por hacer un mal uso de la información porque se le va a olvidar y le puede perjudicar su trabajo.
En cuanto a las leyes hay una gran problemática ya que las empresas deben tener publicado su aviso de privacidad, podemos tener un impacto negativo en la imagen por el manejo de la información. Como empresa debemos cuidar esa información ya que nos puede generar una multa y un impacto económico con nuestros clientes por el hecho de haber sido violentados, debemos buscar soluciones que nos protejan por el tema de la imagen.
Los componentes para tener buenas prácticas de ciberseguridad son las herramientas ya mencionadas, proceso y roles (responsables). La tecnología no te va venir a resolver por si sola un problema de protección de la información, se necesita tener muy claro el proceso asociado al ciclo de vida de la información de la compañía. Dentro de los roles debemos etiquetar y clasificar que información es crítica dentro de negocio y de esa información crítica el impacto que tendría si se pierde o se la roban, también definir un proceso de etiquetado puesto que toda la información tiene una vigencia y al crearse información nueva alguien debe hacerse cargo de etiquetarla para mantener un inventario de información vigente. El proceso de almacenaje de la información debe de ser muy claro de donde se puede guardar, si se respalda o no. En las políticas de uso de la información hay que aclarar quién puede o no usarla, qué uso les va dar, cuando la puede usar y cuando no y como hace uso de esa información.
Hay que buscar que es lo que mejor se adapta a nuestra empresa ya que por el tema de la usabilidad cambia en cada una, debemos definir el tamaño que tiene la información valiosa de la empresa y cuando cuesta. Se debe definir que necesitas tener para la organización que te pueda ayudar, analizar muy bien las herramientas que se van usar que sea siempre avalado por expertos y de confianza que tengan que ver con ciberseguridad y no tecnologías de comunicación. Las plataformas que hay en la nube no son respaldos, hay que revisarlas ya que es información libre y que puede ser manipulada. Los expertos te ponen un espacio para cuidar tu información, pero quien debe de cuidarlo eres tú, hay que leer las letras chiquitas de lo que se contrata para saber que si está siendo resguardado.
