Conozca sus puntos débiles y evite la fuga de datos
Desde datos de tarjetas de créditos de clientes hasta registros de empleados que son vitales para los departamentos de Recursos Humanos, la información sensible es la base de los negocios de hoy en día. Es, de distintas formas, lo que hace que las compañías modernas funcionen.
Las brechas y fugas de datos alcanzaron una frecuencia alarmante, pero todavía hay muchos errores de concepto en relación a cómo y por qué ocurren. Las imágenes de cibercriminales irrumpiendo en bases de datos secretas desde sus habitaciones oscuras pueden ser moneda corriente en los medios, pero el motivo real por el que los datos sensibles se hacen públicos suele ser muy distinto del que vemos en las películas de hackers de Hollywood.
Lo cierto es que las fugas de datos pueden ser a menudo rastreadas hacia miembros de las compañías, como resultado de un accidente poco feliz o una falla estructural. Puede ser cualquier cosa, desde un error humano básico a una evasión de las reglas en la red informática de la empresa.
Fuga de datos, brecha de datos: ¿cuál es la diferencia?
Dada la gran disparidad entre los tipos de incidentes que pueden resultar en información que se hace pública, deberíamos separarlos en dos grupos: fuga de datos y brecha de datos.
En una brecha de datos, los atacantes normalmente necesitan acceder a un servidor a través de una vulnerabilidad, o perpetrando un ataque que podría ser prevenido con las medidas de seguridad adecuadas.
En una fuga de datos, es posible que no haya agujeros de seguridad obvios. Los datos pueden haber caído en las manos equivocadas por alguna acción interna irresponsable o el comportamiento malicioso de un empleado descontento, como por ejemplo el jefe de TI que infectó los servidores de la compañía donde trabajaba luego de renunciar.
Esta distinción no es universal. Muchos expertos clasificarían todos estos casos de pérdida de datos como brechas; después de todo, pueden ser igualmente dañinas para la compañía. Pero al separarlas aquí podemos entender mejor por qué ocurren estos incidentes.
Entonces, cuando se trata de fugas de datos, ¿cuáles son los mayores puntos débiles que se deberían revisar?
1. Error humano
Más allá de lo que hayas invertido en una solución de seguridad, el error humano es una de las cosas que nunca podrás controlar por completo. Según el estudio de PWC titulado 2015 Information Security Breaches Survey, el 50% de las peores brechas del año pasado fueron causadas por personas en forma inadvertida.
Hace apenas unos meses, por ejemplo, la Corporación Federal de Seguro de Depósitos de Estados Unidos tuvo que hacer frente a las consecuencias luego de que un exempleado se fuera con un USB que contenía información personal de 44 mil clientes. Luego se descubrió que los datos habían sido descargados en forma inadvertida y sin intención maliciosa.
Comentando los resultados de un estudio de 2014, el investigador senior de ESET David Harley coincidió en que las amenazas internas no deberían asumirse siempre como maliciosas. Dijo: “Una gran proporción de brechas de seguridad son causadas directa o indirectamente por personas dentro de una organización, ya sea un error humano, susceptibilidad a Ingeniería Social, malas decisiones de gestión de la seguridad y demás. No estoy convencido de que la acción maliciosa deliberada de alguien interno tenga mayor peso que esos otros factores”.
Como dice el famoso dicho “errar es humano”, pero eso no dignifica que no se pueda trabajar para prevenir este tipo de fuga de datos. Según la encuesta de 2015 de PWC, el 33% de las grandes organizaciones dice que la responsabilidad de asegurar que los datos estás protegidos no está clara, mientras que el 72% de las organizaciones donde no se entendía bien la política de seguridad sufrieron brechas relacionadas con el personal.
Asegurarse de que todos los empleados tienen una adecuada “concientización cibernética” y que la responsabilidad de asegurar la red no cae solo en unos pocos especialistas ayudará a mantener los errores costosos al mínimo.
2. Robo
Por mucho que nos gustaría decirte que los datos solo son robados por criminales externos, lamentablemente, el robo también puede suceder a nivel interno. La oficina regulatoria de comunicaciones en el Reino Unido, OFCOM, lo supo este año cuando adivrtió que un exempleado había estado recolectando subrepticiamente sus datos de terceros durante un período de seis años.
La entidad supo de la fuga de datos luego de que la persona en cuestión trató de pasarle los datos a los nuevos empleados, que alertaron a OFCOM de la nefasta actividad. Los exempleados pueden ser un dolor de cabeza, sobre todo cuando su permiso de acceso no se dio de baja.
A ninguna compañía le gusta sospechar de sus empleados ni tratarlos con recelo, pero esta fuga de datos puede prevenirse manteniéndose alejado de los riesgos innecesarios. Por ejemplo, cuando haya documentos sensibles involucrados, asegúrate de darle acceso a quienes realmente lo necesitan. Almacenar toda la información de la compañía en un servidor gigante no es nunca una buena idea.
3. Uso indebido de acceso
Incluso si las intenciones de los empleados no son maliciosas, las acciones aparentemente menores pueden socavar la seguridad informática de la red y dar lugar a fugas de datos.
Según un reporte de Cisco de 2014, aproximadamente un cuarto de los empleados admitió haber compartido información sensible con amigos, familiares o incluso extraños, y casi la mitad de los encuestados compartió dispositivos del trabajo con personas externas a la compañía sin supervisión.
Estos comportamientos podrían parecer lo suficientemente “inocentes”, pero dejan a la información sensible de una compañía fuera de su control. Los controles de seguridad y procedimientos pueden ser implementados para limitar este tipo de actividad, pero aún estas medidas pueden ser evadidas.
Ahora que hemos identificado los tres puntos débiles relacionados a la fuga de datos, probablemente te estés preguntando qué medidas puedes tomar para fortalecerlos. Mejor sigue estos 10 consejos para evitar la fuga de información.
Fuente: Welivesecurity