En la actualidad, las violaciones de seguridad de datos y la fuga de información sensible se ha vuelto una pesadilla para las empresas en los diferentes sectores, tanto para las que usan infraestructuras físicas tradicionales como para las que se han subido a las nuevas arquitecturas virtuales o de nube.
Esto es debido a que esta categoría de amenazas cibernéticas es bastante lucrativa para los ciberdelincuentes. De acuerdo a datos obtenidos del sitio web Breach Level Index, tan solo en México desde el 2013 se han perdido más de 100 millones de registros, número crece día con día. Irónicamente, las empresas no invierten lo necesario en seguridad de datos sino hasta que son víctimas de este tipo de incidentes, lo cual no sólo impacta en la imagen y reputación de la empresa, si no también repercute en pérdidas financieras.
El costo promedio de una violación de datos es de 3.86 mdd, y actuar de manera anticipada es imperativo, empleando adecuadamente una táctica contra la fuga de datos como una mejor alternativa para mitigar el riesgo ante estas ciberamenazas.
Bajo este tenor y con base en nuestra experiencia en el despliegue de soluciones de ciberseguridad en capas, las siguientes pautas son fundamentales para elaborar una estrategia de ciberdefensa efectiva contra la fuga de datos.
Generalmente en las compañías no se tiene visibilidad completa de dónde se encuentran almacenados datos sensibles, dándose esto por diversas circunstancias; no hay una documentación completa de los aplicativos, el conocimiento de esta información puede estar en personas y no en procesos, existen aplicaciones heredadas de las cuales el conocimiento en términos de funcionamiento e información es nulo, etcétera. Con base en ello, en esta fase se debe desplegar una búsqueda para identificar dónde se encuentra información sensible almacenada.
Pareciera obvia la tarea de clasificar la información sensible como parte de la táctica, sin embargo, en la práctica la realidad es que pocas veces sucede.
La clasificación de la información debe hacerse en función a una simple escala en particular, el nivel de criticidad (frecuencia x consecuencia) para el negocio, la cual a su vez puede estar atenuada por diversos factores, por ejemplo: riesgos financieros, cumplimiento de auditorías externas e internas, cumplimiento de normas locales, impacto en la reputación de la empresa por mencionar algunos.
Una vez identificados los datos críticos del negocio, lo siguiente es establecer el perímetro, es decir, determinar Quién/Qué, Cómo, Cuándo y bajo Qué circunstancias se debe acceder a esta información.
El monitoreo activo es algo esencial y tal vez bastante lógico, sin embargo, si no se ejecutan primeramente las tres etapas anteriores, este puede arrojar resultados inefectivos.
Finalmente, el último paso es detectar y proteger eficazmente el activo más importante en esta era cada vez más digital, la información.
Para esto se vuelve primordial realizar un correcto análisis arquitectónico de la infraestructura tecnológica a fin de implementar eficazmente controles de ciberseguridad mediante soluciones tecnológicas que faciliten la gestión y protección de la información, incluso apalancándonos de estas para automatizar el cumplimiento de las etapas anteriores.
La táctica para la ciberdefensa de datos en sus diferentes estados: en uso, en reposo y en movimiento, es crucial como parte de la estrategia de ciberseguridad integral en las organizaciones, ya que no podemos enfocarnos en proteger sólo una arista de todo el prisma.
La protección de los datos así como de las otras capas: la frontera, la red interna, los usuarios y las aplicaciones, deben involucrar de forma previa y particular un diseño y planeación adecuados que permitan la ágil implementación de procesos y metodologías, gente calificada, y controles tecnológicos de ciberseguridad, y la mejor forma de cumplirlo exitosamente es basando nuestra estrategia en los marcos de seguridad de la industria como mejores prácticas, siempre bien alineados con los intereses del negocio.
