17 abr 2013

Fuga de información, la mayor amenaza para la reputación corporativa

Por Arantxa Calvo Moyano, Directora de Marketing de Secura IT

Las empresas son sólo tan buenas como su reputación o su imagen corporativa: en la era digital que vivimos dicha reputación puede forjarse, o destruirse, a la velocidad de un click gracias a Internet.

Pero, ante una fuga de datos: ¿dónde queda la reputación corporativa?, ¿cuáles son sus costes cuando ocurre un incidente de seguridad? La seguridad de la información es un aspecto crítico para evitar la mala imagen que proyecta una empresa incapaz de contener ataques y fuga de datos estratégicos. No se trata únicamente de haber perdido información importante sino el efecto que, más allá de esto, puede provocar en el mercado y la sociedad en general, sin contar los aspectos legales (LOPD). Esto es, pérdida de confianza.

Las brechas de seguridad son un verdadero problema, sobre todo cuando datos confidenciales pasan a manos ajenas, ocasionando no sólo un grave incidente de seguridad para la compañía sino también un fuerte golpe a su reputación, tal como le ocurrió a Sony que en el año 2011 sufrió uno de los ataques más escandalosos. Los analistas calcularon que el agujero de seguridad pudo ocasionar una pérdida que superará ampliamente los 1.000 millones de dólares.

Durante los últimos cinco años, las organizaciones han experimentado un aumento en el volumen de fugas de información intencionales o no. En este escenario conceptos como reputación corporativa o riesgo reputacional han ido ganando relevancia en el ámbito empresarial propiciado por los ataques a grandes firmas unido al endurecimiento de las normativas. Las pérdidas, multas y costes derivados de los grandes ciberataques de los últimos años confirman el trastorno para las compañías. Zurich Insurance PLC fue multada con 3.800 millones de dólares por la pérdida y exposición de registros de más de 18.000 clientes.

En España, hace ya algunos años se produjo uno los casos más importantes de fuga de datos: 11.300 historias clínicas, 4.000 de ellas en casos de aborto, se filtraron en la red a través de Emule, debido a un error de un empleado. La Agencia Española de Protección de Datos (AEPD) sancionó a un centro médico de Bilbao con 150.000 euros.

Más recientemente firmas como LinkedIn, Yahoo!, Last.Fm o incluso Apple también han sufrido brechas de seguridad, perdiendo parte de su reputación conseguida hasta ahora. No se salva ni la NASA.

Simultáneamente a los ciberdelincuentes, algunas personas con acceso a información privilegiada han utilizado nuevos métodos para sacar conductas cuestionables a la luz pública mediante la difusión de datos confidenciales en sitios web como es el caso de WikiLeaks.

Sin duda, el mayor costo para una organización es la mala reputación. Considerar los riesgos reputacionales de una empresa equivale a proteger su reputación y aquí radica la importancia de abordar de una forma adecuada tales riesgos, con la conciencia de que proteger la reputación de una empresa es hacerla mejor.

Según un estudio europeo, “las brechas de seguridad de los datos continuarán exponiendo a las empresas europeas a riesgos innecesarios, dañando su reputación, a no ser que se tomen acciones para mejorar la gestión y protección de la información sensible, fundamental para el buen desarrollo de su negocio”.

La fuga de información de una red corporativa puede ocurrir deliberadamente como resultado de una acción intencional de algún empleado, como consecuencia de un ciberataque, o inadvertidamente, por un colaborador desprevenido víctima de un software malicioso. Hoy en día es imprescindible para un profesional o para una empresa proteger sus datos ante un imprevisto como los que he citado, ya que solo son un ejemplo de miles de casos registrados hasta ahora.

Controlar la información confidencial dentro de una organización es todo un reto, ya que deben considerarse las amenazas internas además de las externas. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

Aun así un informe de la Cumbre Europea sobre el Riesgo de la Información constata que “solamente alrededor de la mitad de las empresas medianas considera la pérdida de información sensible como uno de los tres principales riesgos a los que se enfrentan sus negocios”.

Las empresas deberían centrarse en la seguridad para evitar y prevenir estos ataques, pero también para poder proporcionar a los clientes confianza y tranquilidad sobre cómo sus datos, dinero y propiedades intelectuales están en buenas manos, tanto dentro como fuera de la red corporativa.

Una buena seguridad de la información necesita tres elementos: personas, procesos y tecnología. Las empresas suelen invertir en tecnología, pero ésta por sí sola no es efectiva. Los beneficios de la tecnología no merecen la pena sin la seguridad adecuada, por lo que es imperativo establecer unas políticas se seguridad y unas conductas responsables. Los trabajadores deben ser formados, conocer y tomar responsabilidades en cuanto a la seguridad de su compañía se refiere.

En el aspecto técnico, para fugas internas, los DLP (Data Leak Prevention) son herramientas para la prevención de fuga de información. El software de prevención de fuga de datos resuelve eficazmente el 80 por ciento de las fugas debidas a accidentes y negligencias. Según IDC, los errores involuntarios o no de los empleados son la cuarta amenaza en importancia para la seguridad de la empresa.

También es necesario tener en cuenta que la protección contra las amenazas del software malicioso externo es una parte esencial de la prevención de la fuga de datos.

En la misma línea contar con un programa de respuesta de incidentes robusto le permitirá reaccionar rápida y correctamente cuando eventos o individuos no previstos amenacen sus operaciones comerciales.

En definitiva, la defensa contra la fuga de datos requiere una combinación de políticas que definan las prácticas aceptables y de tecnologías, personas y procesos que hagan cumplir las políticas de forma sistemática y dinámica, reduciendo así al mínimo la probabilidad de una brecha de seguridad.

La fuga de información es un riesgo que debe ser considerado prioritario en el diseño de un esquema de seguridad de la información, teniendo en cuenta tanto los aspectos tecnológicos que involucra, como aquellos de gestión y educación para minimizar el mismo. En mi opinión, hoy día la gestión de la seguridad de la información supone una clara nueva ventaja competitiva para las empresas y deberían tomar nota. Acometerán con garantías, minimizando riesgos y costes, maximizando rentabilidad.

Fuente: Red Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!