Comentarios en: ¿Reducir el riesgo de fuga de información?

Por: Alberto Rivas Sr

Alberto Rivas Sr — Mon, 22 Mar 2010 12:10:00 +0000

Aunque ya lo habeis dicho casi todo, podríamos añadir la formación y concienciación del personal como un elemento clave en la protección de los activos de información de la compañía. Las herramientas de trabajo que permiten compartir información, son una puerta abierta a la salida de la misma, copiar-adjuntar-enviar puede convertirse en una rutina sin limitaciones para los usuarios de los sistemas de información y dado que esta resulta ser una operación digamos íntima, -salvo que hayan sistemas de registro y seguimiento (logs), nada frecuentes-, es muy fácil caer en ello, excepto que se conciencie a cada usuario sobre su responsabilidad en el acceso, uso y transmisión de la información y en la necesidad de mantener el mínimo número de copias de la misma y destruirla cuando no sea necesaria. Este es otro punto interesante, la información no se tira a la papelera o al cubo de basura, sino que se destruye o se deposita en contenedores seguros para su destrucción.
Parece una broma, pero la información se busca, se compra y se paga. Copias de diseños de procesos y sistemas son diariamente obtenidos de manera ilegal, por expertos en la búsqueda y siembra de fuentes de información que son bién cuidadas y compensadas, hasta ser descubiertas y sustituidas por otras. Lo que suele ocurrir es que estas fugas no se publican, en beneficio del buen nombre de las empresas que las sufren. Es entonces cuando se llama a los expertos que son requeridos a solucionar el problema de manera rápida, efectiva y económica, cosa poco menos que imposible ya que un plan de seguridad require análisis, tiempo y dedicación, sobre todo del personal interno, con la colaboración del departamento de Recursos Humanos que debe establecer calendarios obligatorios de asistencia a cursos, normas de actuación desde el punto de vista ético y medidas disciplinarias en caso de incumplimiento. Después de esto, podremos pensar en sistemas automatizados de control – que no de corección- para la detección de incidencias que muestren las debilidades a corregir (siempre las hay).

Por: Javier Cao

Javier Cao — Thu, 18 Feb 2010 16:00:37 +0000

Yo escribí hace un par de años sobre este nuevo enfoque de protección perimetral que cambiaba el foco de velar por la protección “Fuera–>dentro” a mirar desde la perspectiva contraria “Dentro->Fuera”.

No he visto soluciones tecnológicas funcionando pero las problemáticas que me plantean las habéis clavado vosotros ya en el post. Creo que es imprescindible gozar de un sistema de clasificación maduro de forma que podamos asumir que si filtramos por contenidos, todo lo que sea confidencial siempre estará etiquetado como tal.

Por: Francisco Benet

Francisco Benet — Wed, 17 Feb 2010 17:10:34 +0000

Me dijeron una vez que cuando no existe la respuesta a una pregunta siempre se debe dar la mejor solución, en este ‘problema’ para mi la críticidad y por lo tanto el coste depende del entorno, que entiendo que es un entorno de datos críticos, no por su disponibilidad sino por su contenido.

Si bien no existe la solución total, minimizar el riesgo es acometible desde varias perspectivas, pero no me atrevo a decir que aproximación coger ya que me parece que estan demasiado acopladas al entorno tecnológico y contexto de negocio de la información.
Eso sí, seguro que en las siguientes semanas nos ilustrareis con diferentes ‘posibilidades’.

Por: Eddasec

Eddasec — Wed, 17 Feb 2010 16:58:05 +0000

En 2 palabras: IM-POSIBLE. Hemos visto unas cuantas soluciones y considerando el coste que supone no compensa para nada (no cubren todos los escenarios y su integración con según que sistemas es complicado). Al final hemos optado por hacer “inventos” propios y sobre todo registrar, registrar y registrar la actividad de los usuarios. Cuando son conscientes de que dejan rastro hasta de los movimientos del ratón (por decir algo) se lo piensan 2 veces……