Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Muchas PyMEs aún carecen de controles para limitar la exposición de los datos sensibles

Según Trustwave, una de cada cinco organizaciones no tiene controles para evitar la exposición de datos sensibles.

En los últimos años, los delincuentes han apuntado a grandes minoristas de Estados Unidos por los millones de transacciones de tarjetas de crédito y débito que procesan a diario. Los atacantes también han mostrado un creciente interés en otros registros, como los números de Seguro Social e información de salud de pacientes, ya que pueden recolectar millones vendiendo esos datos en los mercados negros de todo el mundo.

A pesar del riesgo claro y presente en relación al robo de datos empresariales sensibles, un nuevo informe revela que la mayoría de las empresas no han aplicado los controles básicos ampliamente considerados necesarios para proteger dichos datos; en algunos casos, las organizaciones ni siquiera son conscientes de que pueden tener obligaciones reglamentarias para hacerlo.

De acuerdo con su Reporte de Estado del Riesgo 2014, la empresa de seguridad y cumplimiento  Trustwave Holdings Inc., con sede en Chicago, encuestó a 476 profesionales de TI de tecnología, servicios financieros, servicios de negocios y otras verticales en las deficiencias de seguridad que puedan estar presentes en sus respectivas organizaciones.

Trustwave encontró que el 81% de las empresas que respondieron –tres cuartas partes de las cuales eran empresas con menos de 1,000 empleados–  almacenan o procesan datos financieros, los cuales están sometidos a una serie de normas extenuantes, como el Estándar de Seguridad de Datos de la Industria de Tarjetas (PCI DSS).

Sin embargo, Trustwave encontró que muchas organizaciones aparentemente no están tomando suficientes precauciones para proteger dichos datos sensibles. Solo el 37% de los encuestados indicó que sus respectivas organizaciones mantienen lo que llamaron un método "completamente maduro" de controlar y dar seguimiento a los datos sensibles. Casi una quinta parte de los encuestados admitió no tener ningún control instalado para limitar la exposición de datos sensibles.

Poco más de dos tercios de las organizaciones que respondieron admitieron también la transferencia de datos sensibles entre ubicaciones de la empresa. Otro 58% de las organizaciones que respondieron dijeron que utilizan a terceros para la gestión de sus datos sensibles, aunque casi la mitad no tenía programas instalados para gestionar a esos terceros.

Peor aún, según Phil J. Smith, vicepresidente senior de soluciones de gobierno de Trustwave, es que el 40% de los encuestados corporativos dijo que no eran plenamente conscientes de cómo las regulaciones como PCI DSS rigen la forma en que protegen dicha información. Incluso entre aquellas organizaciones que se consideraban plenamente conscientes, hubo empresas que no utilizaron capacitación en la toma conciencia sobre seguridad, no mantienen reuniones de planificación de seguridad ni toman otras medidas vitales para la defensa de esas regulaciones.

Cuando se toma como un todo, Smith dijo que las estadísticas en el informe muestran que una parte importante de las organizaciones no están haciendo lo suficiente para proteger sus datos más valiosos, incluso cuando las regulaciones lo requieren.

"Si usted no entiende cuáles son sus consecuencias legales son por no proteger [los datos sensibles], entonces está probablemente no los protege de forma adecuada", dijo Smith. "Una empresa puede experimentar un problema en el que no sabe lo que está pasando, y en muchos casos, si no ha hecho su debida diligencia para entender qué datos están en riesgo y cómo están protegidos, entonces no tiene indicios de que una anomalía está sucediendo o que los datos podrían estar en riesgo".

La evaluación de riesgo es clave para evitar la exposición de datos sensibles

Las organizaciones que aún tienen que poner en práctica medidas para limitar la exposición de los datos sensibles, dijo Smith, deberían empezar por encargar una completa evaluación basada en el riesgo para determinar qué activos son los más valiosos, dónde se almacenan y cómo están siendo protegidos. Ese proceso debe incluir ejecutivos, recursos humanos, empleados legales y que no sean de TI, señaló, lo cual debería proporcionar una imagen más clara de los datos que son importantes para los diferentes segmentos de cada empresa.

Con esa información en mano, Smith dijo que las organizaciones deben evaluar las protecciones instaladas para este tipo de datos e identificar las brechas en la cobertura de la seguridad. Se necesitarán evaluaciones prácticas de aplicaciones, pruebas de penetración y más para identificar vulnerabilidades y, posteriormente, elaborar un plan de remediación.

Una vez que el proceso de remediación ha sido completado, Smith dijo que se debe traer auditores, tanto internos como externos, para validar que el plan fue implementado adecuadamente y todos los huecos fueron tapados. Más pruebas de penetración también pueden ser comisionadas para las aplicaciones y aplicaciones web, añadió, para descubrir cualquier punto débil adicional que podría ser necesario abordar.

Los ejecutivos deben tener un papel en la protección de datos

Smith también hizo hincapié en que más ejecutivos deben participar en los procesos de seguridad y hacer la debida diligencia para proteger los datos sensibles. Menos de la mitad del total de consejeros y miembros de la alta gerencia toman un rol activo en los asuntos de seguridad, según los encuestados, mientras que casi uno de cada 10 no tiene ninguna implicación en la seguridad en absoluto.

Smith dijo que esos números están obligados a mejorar después de una serie de violaciones de datos de alto nivel, sobre todo en casos como la brecha en Target Corp., tras lo cual fueron despedidos tanto el CEO como el CIO de la compañía, en parte debido al incidente.

Para involucrar más a los ejecutivos en seguridad, Smith dijo que ha visto a negocios tener éxito mediante la realización de pruebas de preparación de respuesta a incidentes, que pueden juntar a personal de recursos humanos, abogados, gerentes y un CISO en el mismo espacio para repasar un escenario.

"Esa es una buena manera de educar a aquellos ejecutivos que están desarrollando esa agenda para sus reuniones de la junta", dijo Smith, "[y] para iniciar ese diálogo”.

Investigue más sobre Protección de datos empresarial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close