¿Está protegida la información que enviamos fuera de nuestras compañías?

De todos es sabido que uno de los activos más importantes de cualquier empresa, después de las personas, es la información que soporta la misión global de la organización. Una de las funciones claves de la Seguridad de la Información y, por ende, del Riesgo y Control TI, es la protección de esos activos y recursos: información, software, hardware, etc. ¿Protegemos correctamente la información de nuestras empresas cuando la enviamos al exterior?

Agustín Prieto Delgado
Responsable de Gestión de Riesgos de la Información
BAR
CLAYS BANK

Desde hace muchos años, el intercambio de información entre empresas es un requisito imprescindible para la supervivencia y para la generación de negocio. Nadie puede imaginar hoy una compañía, independientemente del sector al que pertenezca su actividad, que gestione su información sin que la comparta con otras: bancos, organismos oficiales, empresas, etc.
Es lógico pensar que esta actividad ancestral, basada en el concepto de comercio, conlleva riesgos TI inherentes que se deben tratar desde la Gestión de la Seguridad de la Información (identificación de los activos de información, documentación, políticas, estándares, procedimientos y guías) y desde la Gestión del Riesgo de la Información (identificación de las necesidades del negocio, medida, controles alternativos para paliar esas posibles pérdidas asociadas a eventos de riesgo, etc.).
Los conceptos de disponibilidad, integridad y confidencialidad serán los principios básicos y las claves para mantener un programa de Gestión de Seguridad y Gestión del Riesgo de la información que nos posibilite sacar información de nuestras compañías de forma segura.
Antes de entrar en lo que podríamos denominar fases o etapas para enviar información fuera de forma segura, hay que mencionar unos condicionantes que van a influir a la hora de plantearnos esas comunicaciones al exterior sin riesgos:
1) Legislación local. Con la aparición de las primeras leyes de Protección de Datos –Ley Orgánica 5/1992, hasta la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal de 13 de diciembre de 1999 -15/1999; comenzamos a tomar conciencia de la importancia que tiene el ciclo de vida en la protección de los datos de carácter personal: recogida del dato, protección, proceso, almacenamiento, transmisión, destrucción y/o entrega cuando no sean necesarios.
El Real Decreto 1720/2007, de 21 de diciembre –aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter personal– enfatizó la adopción de medidas de seguridad de los ficheros automatizados y no automatizados que contengan datos de carácter personal. No todos los datos que salen de nuestras entidades están en formato electrónico. Ésta es la diferencia más notoria de este Reglamento con respecto al anterior.
Por consiguiente, es buen principio plantearse, siempre que sea posible, comunicaciones electrónicas que contengan datos de carácter personal con cifrado.
2) Políticas o regulaciones internas de Grupo. Las multinacionales suelen tener Políticas y Estándares de Seguridad y de Gestión del Riesgo de la Información comunes para el Grupo, con independencia del país en el que se establezcan y, en algunos casos, son más restrictivas que la legislación local. En este caso, en mi opinión, es más conveniente adoptar las medidas de protección más restrictivas.
3) Herramientas generales para los intercambios de información. Existen herramientas estándar para realizar intercambios de información; por ejemplo, en la banca, los Cuadernos AEB a través de Editran. Esta arquitectura permite establecer redes privadas virtuales (VPN) con el empleo de criptografía. No todos los intercambios que se hacen a través de Editran viajan cifrados.
4) Formatos en el intercambio. Son las estructuras de datos en las que se divide la información que vamos a transmitir.
5) Tipología de datos, es decir, datos internos que procesa y almacena la empresa y datos que se sacan de su ámbito. En relación con los datos que se circunscriben a la empresa, es necesario un control y monitorización para evitar que personas no autorizadas tuvieran acceso a ellos y/o ser objeto de salida de información no autorizada. Recordemos que aproximadamente el 85% de las organizaciones han tenido alguna vez problemas con sus datos: pérdida, mal uso e incluso, robo. En base a estas premisas, las fases o etapas previas al intercambio de información podrían ser, por ejemplo, las siguientes:
a) Clasificación de los activos de información de la empresa. La información tiene que estar clasificada de acuerdo a su criticidad e importancia para la supervivencia de las compañías. La responsabilidad de esta clasificación recae en el propietario de la información (business owner) y tiene que mantenerse actualizada.
b) Valoración del riesgo (risk assessment) del impacto que pudiera tener esa comunicación externa de forma segura. También hay que incluir el riesgo de que esta comunicación no se realice: pérdida de negocio, de competitividad, etc.
c) Contratos con terceros y autorización a la salida de información por el business owner.
d) Mecanismos técnicos para posibilitar la comunicación de información, así como mecanismos de seguridad en función de su criticidad.
e) Envío de datos de prueba despersonalizados para verificar el adecuado funcionamiento.
f) Planificar automáticamente esa comunicación dependiendo de la frecuencia del envío. Cualquier otra aproximación que alcance los objetivos definidos es perfectamente válida.

Las soluciones de Gestión de Derechos de Información (IRM) serán las que nos permitan establecer un ciclo de vida del dato automático allí donde se encuentre, dentro o fuera de nuestras corporaciones. Su puesta en marcha no es baladí, ni fácil de implementar, ni barata, y obliga a realizar un importante ejercicio de clasificación de la información por contextos, o áreas de negocio; y las restricciones de acceso van en función de ese contexto y de los usuarios que acceden a él.

Conclusión

Las grandes compañías están afectadas por regulaciones locales y también internacionales: LOPD, Basilea II, PCI DSS, etc., que velan por la confidencialidad e integridad de los datos. Principalmente, hacemos dos tipos de uso de la información en las compañías: a) interno y b) comunicaciones al exterior. En cualquiera de los dos casos, la seguridad de la información es vital para salvaguardar nuestros activos y mitigar los posibles riesgos de reputación y económicos.
a) Internos. Uno de los mecanismos tradicionales para controlar la seguridad del dato es restringir a los usuarios a que accedan exclusivamente a lo mínimo para realizar su trabajo –Least Privilege Security–. Este principio de Acceso Lógico es adecuado pero no nos protege de un posible mal uso de la información si ésta se mantiene almacenada sin cifrar. Una medida de control adicional, vigente en muchas de nuestras compañías es la seguridad en el punto final: USB, CD, etc., –end point security–. Esta función se refuerza con una monitorización de la actividad que controla el sistema de prevención de pérdida del dato –Data Loss Prevention–. Estos sistemas reducen la posibilidad de salida no autorizada de información, pero ¿qué pasaría si a estas características les pudiéramos añadir funcionalidades extras, como por ejemplo, tiempo de vida del documento, posibilidad de impresión o no, destinatarios internos o externos o determinar lo que el receptor puede hacer con el documento? Estas soluciones denominadas Gestión de Derechos Digitales (DRM) o, mejor todavía, Gestión de Derechos de Información (IRM), serán las que nos permitan establecer un ciclo de vida del dato automático allí donde se encuentre, dentro o fuera de nuestras corporaciones. La puesta en marcha de estas soluciones no es baladí, ni fácil de implementar, ni barata, y obligan a realizar un importante ejercicio de clasificación de la información por contextos, o áreas de negocio; y las restricciones de acceso van en función de ese contexto y de los usuarios que acceden a él.
b) Comunicaciones al exterior. Deben ir protegidas en función de su criticidad; y siempre que contengan datos de carácter personal, cifradas.


Documento en PDF
 
<volver