BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Protección de datos en las empresas: Guía esencial
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Seguridad en PyMEs: Menos cultura y más riesgos para sus datos

Las pequeñas y medianas empresas no cuentan con mecanismos y controles adecuados para proteger sus datos sensibles. Pero es una cuestión de cultura.

En México, las empresas que menos protegen sus datos sensibles son las PyMEs. No es ninguna sorpresa, considerando que esa es la razón de que este tipo de compañías se hayan vuelto el principal blanco de los ataques dirigidos (31%) en el último año, de acuerdo con cifras de Symantec.

Pero sí se trata de un enorme descuido, pues en una PyME la cantidad de gente y los procesos que utilizan esos datos empresariales son menores y menos complejos que en una gran corporación. No obstante, estas últimas tienen una mayor conciencia del valor de sus datos, y de los riesgos que corren si los dejan sin protección.

Víctor Pichardo, vicepresidente para América Latina de Excelerate Systems Víctor Pichardo, vicepresidente para América Latina de Excelerate Systems, estima que todas o la gran mayoría de las grandes empresas en México tienen fuertes sistemas y políticas de protección de datos, así como importantes inversiones en seguridad; este porcentaje baja a 70% en el nivel de las compañías medianas, y es inversamente proporcional en el caso de las PyMEs. El sector financiero, por ejemplo, uno de los más regulados, es también uno de los más avanzados en la protección de datos empresariales.

“Aunque en México, en general, hay una cultura muy importante de protección de la información,  no creo que la mayoría de las empresas la estén llevando a cabo o adoptando tal cual. A nivel de PyMEs, no es común ver que las empresas se empiecen a preocupar”, comentó Geldard Valle, especialista en seguridad e ingeniero para Symantec en México.

Para Pichardo, el problema radica en la cultura. “Nos enfocamos tanto en la tecnología, que nos olvidamos de la parte humana, y esa la puerta más fácil de abrir para acceder a los datos de una empresa. La experiencia nos dice que 95% de los ataques son internos, y en esa parte es donde menos protección tienen”, afirmó.

Con una buena cultura de seguridad al interior de la organización, y una conciencia clara de cuál es la información que se debe proteger, la inversión en seguridad para una PyME no es muy grande.

“Muchas empresas pequeñas tienen que recordar que no necesitan proteger toda la información que se genera dentro de la organización, sino solo la que es realmente confidencial: ciertos archivos o datos que son de valor para ellos y sus clientes”, tanto por las ganancias que pueden generar como en las pérdidas que representaría su extravío, sea en oportunidades o multas, indicó Valle.

Seguridad de datos: No es solo un tema de TI

Uno de los principales errores que las empresas cometen –tanto PyMEs como empresas más grandes– al realizar proyectos para asegurar la información corporativa es considerar que se trata de un problema exclusivo de TI.

“La seguridad de datos empresariales involucra a todos en la empresa. Desde el dueño y los ejecutivos más altos, hasta los proveedores y socios. Desde la parte cultural, hasta la parte tecnológica”, dijo Pichardo.

“Es un error muy común, que le digan al encargado de TI que se encargue del problema. Y, generalmente, quienes estamos involucrados en tecnología ni siquiera tenemos conocimiento de qué información es la importante para la empresa, en cuestión del valor o dinero que representa. Las áreas que se encargan de generar más valor para el negocio son las que saben cuánto  costaría si se pierde un archivo con cuentas, un estado financiero o una fórmula farmacéutica”, subrayó Valle.

Los ejecutivos concuerdan en que, si bien TI debe estar involucrada, por su labor de facilitador de los procesos, los encargados de un proyecto para establecer las políticas de seguridad de la información corporativa deben ser áreas específicamente de negocios, como auditoría interna, cumplimiento o recursos humanos, porque son las que tienen más conciencia del valor de la información.

Primer paso del esquema de seguridad: Saber qué proteger

Todos los proyectos orientados a la seguridad de la información corporativa empiezan con el mismo paso: determinar cuál es la información sensible, descubrir dónde está alojada (además del centro de datos, si está diseminada en computadoras de escritorio, dispositivos móviles y en la nube), y revisar cómo y quién accede a ella.

Pichardo resaltó que no se debe olvidar tres principios, respecto de la información, que deben cuidarse en las estrategias de seguridad: su confidencialidad (acceso solo a las personas adecuadas), su integridad (que no sea modificada por terceros no autorizados) y su disponibilidad (acceso donde y cuando se requiera).

Asimismo, en relación a los datos sensibles, Valle indicó que ellos suelen dividir los proyectos en dos grandes rubros:

  1. Protección de propiedad intelectual: Que involucra todo lo que las empresas generan y que representa un valor o ganancia específica en el mercado (desde fórmulas farmacéuticas, hasta estados financieros y planes de mercadotecnia que después se puedan vender).

  2. Protección de datos personales: Enfocados en la protección de datos de los clientes y de los mismos empleados de la empresa, y que vienen requeridos en México por el cumplimiento de la Ley de protección de datos personales en posesión de particulares.

Tras identificar la información sensible, se debe determinar cómo se utiliza, quién accede a ella, quién la utiliza, quién la crea, dónde se envía, y así identificar los procesos del negocio en los cuales participan estos datos, para poder asegurarlos y plasmarlos en políticas corporativas, e incluir algunos casos de excepción que sean necesarios (como en el caso de los socios de negocios).

Valle comentó que las herramientas tecnológicas ayudarán a vigilar que el proceso se cumpla de manera adecuada, emitirán alertas si se produce alguna desviación o brecha, y generarán respuestas ante estas acciones, como bloquear correos que quieran enviarse hacia fuera de la organización con información de tarjetas de crédito, no permitir el copiado de información web, o denegar la copia de archivos en memorias USB, por ejemplo.

“Tecnológicamente, se debe implementar algunas barreras (ninguna es infalible) para hacerle la vida más difícil al que se quiera llevar la información: un DLP que nos proteja de las fugas de información, un antivirus, un análisis de vulnerabilidades para revisar por dónde te pueden pegar, pero puede hacerse incluso con servicios especializados a través de la nube. El siguiente nivel sería tener a un profesional dedicado a la seguridad, encargado de supervisar las acciones de usuarios” y monitorear los procesos y el cumplimiento de las políticas, indicó Pichardo. El ejecutivo esbozó un esquema completo de seguridad corporativa, como puede verse en la Figura 1.

Después de todo, los objetivos básicos de una arquitectura de seguridad corporativa, tanto para PyMEs como para grandes empresas, siguen siendo: evitar que un intruso –humano o computarizado– entre a nuestra red; si entra, evitar que tome control de nuestros sistemas; y si toma control de nuestros sistemas, evitar que extraiga información. Esto último, aplica también para empleados internos con malas intenciones.

Este artículo se actualizó por última vez en diciembre 2013

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close