Cómo prevenir los robos de datos informáticos en su empresa

Los robos de datos personales y corporativos en entornos de las tecnologías de la información y la comunicación (TIC) son cada vez más frecuentes en la Argentina. Se trata de una práctica que ya cuenta con castigo penal en el país luego de la sanción de la ley de delitos informáticos (ver más información sobre esta norma en dos informes al final de esta nota).

Para tener una idea de la magnitud de esta actividad delictiva, desde un proveedor de sistemas de seguridad informática compartieron este dato: "En la Argentina se cometen cerca de 130 robos de identidad por mes", aseguró Natalia Da Silva, directora de Marketing y Comunicación de Gemalto, una compañía que comercializa aplicaciones de seguridad tecnológica. La ejecutiva agregó que, con esta cantidad de delitos mensuales, "las entidades bancarias tienen una pérdida estimada de casi 500 millones de pesos anuales".

Los grandes repositorios de datos privados, como los bancos y entidades financieras y empresas de tarjetas de crédito, son objetivos de estos ataques, pero tampoco están exentas figuras de la política y del espectáculo, como quedó reflejado en la investigación sobre el espionaje de correos electrónicos que lleva a cabo la Justicia federal.

Personajes tan distintos entre sí como el canciller Jorge Taiana y la diva Susana Giménez debieron declarar este año ante la jueza federal de San Isidro, Sandra Arroyo Salgado, quien investiga una red de espionaje que interceptaba e-mail de funcionarios, artistas y periodistas para luego comercializarlos y/o conspirar políticamente.

El ministro y la conductora de televisión reconocieron, por separado, como propios decenas de correos electrónicos que los investigadores hallaron en los sistemas de los crackers y de quienes habrían sido sus compradores.

Otros damnificados en esta causa son el ex jefe de Gabinete, Alberto Fernández; la ministra de Defensa, Nilda Garré; funcionarios de Cancillería; el embajador argentino en los EE.UU., Héctor Timerman; y el embajador ante las Naciones Unidas, Jorge Argüello.

Pero los ataques informáticos también apuntan contra las Pyme, a partir de un déficit de conciencia que estas compañías tienen. Según una investigación de la empresa McAfee, un proveedor de sistemas de seguridad informática, el 44 por ciento de las pequeñas y medianas empresas cree que sólo las grandes corporaciones pueden ser víctimas, aunque más del 30 por ciento de las encuestadas sufrió cuatro ataques en los últimos tres años.

El estudio, denominado "¿El tamaño importa?, advierte que esta falsa percepción es altamente peligrosa: un solo ataque puede ser suficiente para sacarlas del negocio.

"Para las empresas de todos los tamaños, los virus, ataques de hackers, programas espía y spam pueden generar la pérdida o el robo de datos, la interrupción del funcionamiento de las computadoras, una menor productividad, problemas de cumplimiento de normas, pérdidas de ventas e, incluso, la pérdida de la reputación", señalaron desde la compañía. "El hecho de que una empresa sea pequeña no significa que sea inmune a las amenazas a su seguridad", agregaron.

Basada en una encuesta a 500 encargados de la toma de decisiones de tecnología en los mercados pequeño y mediano, el estudio detectó que el 88 por ciento de las empresas creía que estaba "correctamente protegida". Sin embargo, el 43 por ciento de ellas admitió que, simplemente, aceptaba las configuraciones predeterminadas de sus equipos de TI, que con frecuencia no están alineadas con las necesidades específicas del negocio.

Pasos preventivos
¿Cuáles son los pasos para frustrar robos de información en ámbitos de empresas? Juan Carlos Vuoso, gerente general de la empresa Etek, una consultora en seguridad informática corporativa, explicó cinco medidas que se puede tomar en cualquier organización, sin importar su tamaño:

Establecer políticas de seguridad que cubran toda la información de la compañía: "Esto incluye identificar al propietario de la información y señalar a qué personas se les permite acceder a ella y en qué momento", dijo Vuoso. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.

Asegurar el "elemento humano": las personas son el elemento más importante de un programa de seguridad de la información, coinciden todos los proveedores de servicios de seguridad informática, porque al fin y al cabo la difusión de información está bajo su control.

El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDA, sigla en inglés por no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades.
"Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar", recordó Vuoso. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.

Utilizar barreras físicas de seguridad: puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. El ingreso a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los "recolectores de información", así como también de algunos empleados que examinan los residuos de las oficinas.

Actualizar las herramientas electrónicas de seguridad: la información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos.

"Los controles de acceso -claves en PC y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos", explicó el ejecutivo de Etek.
Por último, adoptar una estrategia para planes de contingencia y manejo de incidentes: "El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten", dijo Vuoso. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
Fuente: InfobaeProfesional.com