En seguridad, el trabajo es de todos
Symantec explicó a las instituciones de gobierno su secreto para evitar la pérdida de información confidencial.
Por Fabiola V. González
Netmedia - No es ajena para nadie la problemática que se tiene en materia de seguridad de la información. Sin embargo, en ocasiones se tiene la errónea idea de que el mayor riesgo lo representan los hackers.
De acuerdo con Gerardo Maya, ingeniero de ventas de Symantec para el sector gubernamental, el 57% de las fugas de información se deben a pérdida o robo de equipos de cómputo; 21% a un esquema de políticas de seguridad débiles o inseguras, y sólo 13% tienen su origen en el hackeo.
Invitado a participar como conferencista en el Government Innovation Forum, organizado por Netmedia e InformationWeek México, Maya señaló la importancia de clasificar la información para evitar la pérdida de información confidencial. “Al hacerlo, las dependencias de gobierno demuestran a los ciudadanos y a otras instancias el compromiso que tienen con la protección de los datos, además de que garantizan la confidencialidad, integridad y disponibilidad de la información que se usa, se procesa, se genera y se almacena dentro de la institución”, apunta el experto de Symantec.
¿CÓMO TRABAJAR PARA TENER ÉXITO? El directivo insistió en el hecho de que son los dueños de la información y no el departamento IT o de seguridad dentro de la organización quien tiene que clasificar los datos que él mismo genera, pues es quien más conoce sus niveles de confidencialidad y los riesgos de que dicha información pueda ser accesada por agentes no relacionados con ella.
Así como es necesario asignar un valor a cada tipo de información (esto es, sea clasificada, sensitiva, confidencial, secreta o ultrasecreta), también es necesario que el dueño de la información revise periódicamente la clasificación asignada, puesto que ésta podría modificarse con el tiempo.
La responsabilidad de proteger los datos es del área encargada de su custodio, según explica Maya, generalmente el área IT. “Sus roles son ejecutar esquemas de respaldo y recuperación, así como mantener registros según la clasificación de los datos.”
Si el usuario piensa que no tiene ninguna responsabilidad en este tema está equivocado. Debido a que dos de las tres principales motivaciones de la pérdida de datos sensibles para las organizaciones vienen de usuarios internos (sea que estén molestos y hagan el daño intencionalmente, o que desconozcan el mal que provocan y compartan información de manera irresponsable), el ejecutivo de Symantec apuntó que los usuarios de las instituciones deben preservar la seguridad de los datos obedeciendo los procesos y políticas definidos por la organización.
El tema de las políticas es sin duda uno que ha demostrado ser complejo tanto para empresas de la iniciativa privada como para el sector público. En esta materia Maya ahondó sobre los pasos a seguir para su creación. “Hay que redactarlas según las necesidades de la organización, luego mapearlas con base en los estándares que existen en el mercado (como PCI, Cobit, ISO, etc.) y en las regulaciones a las que la instancia está obligada. Posteriormente, es necesario publicarlas para que los usuarios las conozcan y puedan éstos recomendar exclusiones de forma que se les facilite regirse a tales políticas.” Una vez que tales políticas están en marcha, es necesario medir su eficiencia con base en controles técnicos, para definir las vulnerabilidades que aún se tienen y actuar en consecuencia.
La visión de Symantec en el tema ha sido la de conformar en una misma consola herramientas y soluciones que permitan asegurar los tres frentes por los que puede darse la pérdida de la información: la red, el almacenamiento y el punto final (computadora del usuario). “Nuestras soluciones ayudan a validar el storage mediante tecnologías que detectan la información sensible [en los tres frentes mencionados] y previenen las vulnerabilidades”, mencionó.
Por Fabiola V. González
Netmedia - No es ajena para nadie la problemática que se tiene en materia de seguridad de la información. Sin embargo, en ocasiones se tiene la errónea idea de que el mayor riesgo lo representan los hackers.
De acuerdo con Gerardo Maya, ingeniero de ventas de Symantec para el sector gubernamental, el 57% de las fugas de información se deben a pérdida o robo de equipos de cómputo; 21% a un esquema de políticas de seguridad débiles o inseguras, y sólo 13% tienen su origen en el hackeo.
Invitado a participar como conferencista en el Government Innovation Forum, organizado por Netmedia e InformationWeek México, Maya señaló la importancia de clasificar la información para evitar la pérdida de información confidencial. “Al hacerlo, las dependencias de gobierno demuestran a los ciudadanos y a otras instancias el compromiso que tienen con la protección de los datos, además de que garantizan la confidencialidad, integridad y disponibilidad de la información que se usa, se procesa, se genera y se almacena dentro de la institución”, apunta el experto de Symantec.
¿CÓMO TRABAJAR PARA TENER ÉXITO? El directivo insistió en el hecho de que son los dueños de la información y no el departamento IT o de seguridad dentro de la organización quien tiene que clasificar los datos que él mismo genera, pues es quien más conoce sus niveles de confidencialidad y los riesgos de que dicha información pueda ser accesada por agentes no relacionados con ella.
Así como es necesario asignar un valor a cada tipo de información (esto es, sea clasificada, sensitiva, confidencial, secreta o ultrasecreta), también es necesario que el dueño de la información revise periódicamente la clasificación asignada, puesto que ésta podría modificarse con el tiempo.
La responsabilidad de proteger los datos es del área encargada de su custodio, según explica Maya, generalmente el área IT. “Sus roles son ejecutar esquemas de respaldo y recuperación, así como mantener registros según la clasificación de los datos.”
Si el usuario piensa que no tiene ninguna responsabilidad en este tema está equivocado. Debido a que dos de las tres principales motivaciones de la pérdida de datos sensibles para las organizaciones vienen de usuarios internos (sea que estén molestos y hagan el daño intencionalmente, o que desconozcan el mal que provocan y compartan información de manera irresponsable), el ejecutivo de Symantec apuntó que los usuarios de las instituciones deben preservar la seguridad de los datos obedeciendo los procesos y políticas definidos por la organización.
El tema de las políticas es sin duda uno que ha demostrado ser complejo tanto para empresas de la iniciativa privada como para el sector público. En esta materia Maya ahondó sobre los pasos a seguir para su creación. “Hay que redactarlas según las necesidades de la organización, luego mapearlas con base en los estándares que existen en el mercado (como PCI, Cobit, ISO, etc.) y en las regulaciones a las que la instancia está obligada. Posteriormente, es necesario publicarlas para que los usuarios las conozcan y puedan éstos recomendar exclusiones de forma que se les facilite regirse a tales políticas.” Una vez que tales políticas están en marcha, es necesario medir su eficiencia con base en controles técnicos, para definir las vulnerabilidades que aún se tienen y actuar en consecuencia.
La visión de Symantec en el tema ha sido la de conformar en una misma consola herramientas y soluciones que permitan asegurar los tres frentes por los que puede darse la pérdida de la información: la red, el almacenamiento y el punto final (computadora del usuario). “Nuestras soluciones ayudan a validar el storage mediante tecnologías que detectan la información sensible [en los tres frentes mencionados] y previenen las vulnerabilidades”, mencionó.
Comentarios