Sergey Nivens - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

¿En qué está la protección de los datos en las empresas chilenas?

Actualizar el marco legal ayuda a garantizar la confidencialidad de los datos, pero para hacer frente a los crecientes vulnerabilidades y riesgos, cualquier política que se establezca debe ser complementada con tecnología.

Un estudio reciente de Websense indica que aproximadamente la mitad de los profesionales del área seguridad considera que las empresas no están tomando medidas contra el robo y la pérdida de datos. Sin embargo, la mayoría de las compañías está en constante búsqueda de herramientas que le permitan resguardar la información.

En Chile, la protección de datos se encuentra regulada en la Constitución Política de 1980, mediante la Ley N° 19.628 de Protección de la Vida Privada y Protección de Datos de Carácter Personal. En esta ley se establecen las obligaciones para quienes reciban datos de carácter personal de una persona, para los cuales debe garantizarse su protección.

Además, existe el Reglamento del Registro de Bancos de Datos Personales a cargo de Organismos Públicos. Y en el año 2008 se publica la Ley N° 20.285 (Ley de Transparencia y Acceso a la Información Pública).

En cuanto a las regulaciones específicas recientes más significativas encontramos el PCI (Payment Card Industry) Data Security Standard, que regula la protección en la transmisión, procesamiento y almacenamiento de datos de los dueños de tarjetas de crédito y débito para el sector financiero en particular.

Juan Carlos Martínez Salgado, Security Specialist de Unisys, señala que “en casos del sector público y privado las regulaciones dictan que los datos personales tanto almacenados como en movimiento deben estar protegidos mínimamente mediante algoritmos de encriptación, sin embargo estos algoritmos ya pueden resultar insuficientes dadas las crecientes necesidades de protección y es importante complementarlos con elementos de autenticación y control de grupos de seguridad.”

Claudio Yamashita, Fujitsu

En tanto, Claudio Yamashita, gerente de Fujitsu Chile, explica que a nivel gubernamental muchos países han sido capaces de instaurar regulaciones más estrictas en cuanto a la privacidad de la información. Chile no se queda atrás, y como parte de su Estrategia Digital 2020, el Gobierno está preparando un proyecto de Ley de Protección de Datos para actualizar la actual normativa. ”Actualizar el marco legal es una gran ayuda para garantizar la confidencialidad de millones de datos, tanto de usuarios como de empresas, y evitar sustracciones ilegítimas. Sin embargo, para hacer frente a vulnerabilidades y riesgos que crecen día a día, cualquier política que se establezca en ese sentido debe ser complementada con tecnología”, enfatiza.

Jaime Moreno, Entersoft

Otro especialista, Jaime Moreno, gerente de proyectos de Entersoft, agrega que el manejo de datos en las empresas siempre ha sido una constante preocupación, incluso desde antes de la aparición de las tecnologías de la información: “Hoy, con el avance tecnológico, se ha hecho necesario un cambio en la forma de enfrentar la protección a los datos, tanto a nivel empresa como a nivel personal y, claramente, aún queda mucho por resolver y la legislación vigente tiene vacíos significativos en materia de protección  de datos.”

¿Cuáles son los principales requerimientos de las empresas sobre la protección de sus datos?

Los expertos indican que hoy existen diversos requerimientos en las empresas en cuanto a la protección de sus datos. Estas necesidades dependen del negocio de la compañía, su tamaño, su presencia global, la información que resguardan de sus clientes y sus transacciones, entre otros factores.

Juan Manuel Gómez, Regional Sales Manager para la región sur de Latinoamérica de Citrix, explica que la principal preocupación de las empresas tiene que ver con la protección de los datos sensibles de la compañía, ya que cualquier traspaso de información indebido o eliminación de archivos puede afectar directamente a la gestión o las utilidades de la empresa. “Para evitar este tipo de riesgos es que las compañías implementan soluciones de virtualización, gestión de dispositivos móviles y herramientas de redes. Estas opciones dan la posibilidad de borrar todos los accesos o datos corporativos dentro de un dispositivo móvil, ya sea de la empresa o personal,  en caso de que este sea robado o perdido. Y en el caso de las redes, permite proporcionar seguridad al centro de datos donde se almacenan la información y archivos de la compañía, al mismo tiempo que brinda una red robusta y segura donde la fuerza laboral puede desempeñarse en el día a día. Las empresas piden seguridad a toda costa, y un acceso optimizado y eficiente a todos los programas necesarios para operar. El mercado, actualmente, requiere actores competitivos, por lo que automatizar procesos y ahorrar costos son cuestiones fundamentales para mantenerse en lo más alto de la cadena de valor. Las compañías cada vez más tienen esto internalizado en su estrategia de negocios”, sostiene.

Juan Carlos Martínez, Unisys

Para Martínez Salgado, de Unisys, las principales preocupaciones se podrían resumir en “la protección de datos interna; la protección de datos en movimiento; la protección de datos hacia dispositivos móviles; y por último, la protección de datos en la nube.”

Por su parte, Eduardo Godoy, Enterprise Account Manager de Symantec para Chile, destaca que para todas las empresas y organizaciones es hoy imperativa la protección de la información, principalmente debido a la creciente amenaza del robo de esa información existente hoy. “Las organizaciones criminales lucran con la venta en el mercado negro de la información que roban a las empresas. Este negocio ilegal crece de manera preocupante mientras la información se sistematiza en más empresas y organizaciones”, resalta.

El experto advierte que hay también una preocupación por el espionaje de la propiedad intelectual, que a veces se genera desde dentro de la empresa, y a través de la cual los competidores podrían conocer de los productos o estrategias de una empresa: “Más allá de las obligaciones que para las empresas establecen las normas y  los estándares a los cuales se adhieren, podemos observar en la empresas y organizaciones de hoy una necesidad imperiosa de proteger tanto la información (los datos) personal de sus clientes y empleados y asociados; como la información de negocio (técnica, comercial o financiera). Además está también el fenómeno del IoT (internet de las cosas), en donde los dispositivos se están multiplicando a tasas increíbles y donde por tanto las amenazas se hacen presentes. La seguridad en este entorno es también una preocupación para las empresas, en la medida que los ataques se pueden hacer a través de estos dispositivos, como smart TVs, automóviles y sistemas de control industrial.”

Jorge Chacana, Fortinet

Jorge Chacana, Major Account Manager de Fortinet, agrega que “el simple hecho de poseer tecnología que permita detectar y mitigar los ataques producto de las nuevas amenazas no es suficiente, ya que la integración con las distintas tecnologías existentes dentro de las empresas es primordial y crítica para cada una de ellas. Conceptos  como Visibilidad, Integración y Orquestación se tornan realmente importantes para tomar decisiones con la información necesaria.”

Las principales novedades en tecnologías de protección de los datos empresariales

Hoy día las tecnologías aplicadas a la protección de la información que se ofrecen en el mercado cubren el problema de formas distintas y complementarias.  Ante el crecimiento de las amenazas, las herramientas de protección han tenido que evolucionar. Para darse una idea, durante 2015 se crearon más de 450 millones de nuevos “malware”, muchos de los cuales son detectados y por tanto los mecanismos de prevención se establecen después de que múltiples organizaciones han sido atacadas.

Eduardo Godoy, de Symantec, explica que por una parte está la protección contra amenazas (malware en sus múltiples formas) y a través de la cual se busca prevenir o remediar los ataques mediante los cuales se infectan los computadores y dispositivos en una organización y como consecuencia de los cuales se ejecuta el robo de información valiosa. Esta protección incluye los mecanismos de prevención que se instalan en los servidores, computadores, dispositivos, etc. (antivirus o antimalware), la protección del correo electrónico (antispam o antiphising), la protección de la navegación en Internet (antimalware).  Y más recientemente incluye los mecanismos contra Amenazas Persistentes Avanzadas (APT) que consisten de mecanismos para detectar y remediar un ataque cuando éste ha podido superar las barreras iniciales.

Eduardo Godoy, Symantec

“Por otra parte, está la protección de la información y la identidad, a través de la cual se busca prevenir el acceso a la información en un computador o un dispositivo cuando este es robado, y el envío por correo electrónico o copia en dispositivos ‘pendrive’ entre otros de información sensible”, explica Godoy. “Para proteger la identidad, se utilizan mecanismos de Single Sign On (un único punto de control de acceso, SSO) y el doble factor de autenticación, que consiste en utilizar además de ‘algo que yo sé (cuenta y password)’; ‘algo que yo tengo (un número generado por un Soft Token, token físico o tarjeta de coordenadas)’ como el que nos entrega el banco; y ‘algo que yo soy (utilizar lectores de huella digital instalados en los dispositivos móviles’.  Con la combinación de estos mecanismos se reduce casi totalmente la posibilidad de ‘reemplazar’ a una persona al utilizar una aplicación o hacer una transacción”, detalla.

El experto manifiesta que todos estos mecanismos deben complementarse con las “buenas prácticas” que las organizaciones deben implementar para prevenir los ataques.  Estas incluyen el tener los equipos y dispositivos actualizados en cuanto al sistema operativo y las herramientas de seguridad y el tener cuidado evitando abrir correos que resulten sospechosos o navegar en sitios de internet que pueden ser maliciosos.

Finalmente, Pablo Dubois, Data Center Product Manager Latam de Level 3, explica que hoy en día los sistemas tradicionales de protección de datos son necesarios pero nunca terminan siendo suficientes. Por lo que soluciones del tipo DLP, o para el BYOD, protección de metadata entre otros, no cubren hoy en día las principales amenazas que se están viendo en el mercado.

Pablo Dubois, Level3

El ejecutivo agrega un nuevo elemento: “Hoy estamos hablando de amenazas que uno no puede saber a priori cuáles son y además muy probablemente no sean ni conocidas, por lo que cualquier solución tradicional hoy fallaría ya que la gran mayoría de ellas se basan en comportamientos o firmas conocidas. ¿Pero qué pasaría si con lo que atacan a nuestra empresa es algo nuevo, una vulnerabilidad de un sistema aún no reportado? Es aquí donde aparecen las soluciones de sandboxing. Este tipo de soluciones prueban por nosotros en entornos virtuales y controlados aquellos archivos o links sospechosos y revisan su comportamiento dentro de la misma para definir luego si es o no un archivo o link malicioso. Esta es una tecnología que tiene ya unos años en el mercado, pero que su evolución ha hecho que varias empresas reconocidas hoy ya la tengan entre sus nuevas herramientas de protección”, concluyó.

Este artículo se actualizó por última vez en marzo 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close