Las organizaciones implementan funciones de seguridad de la información (IS, InfoSec) y de cumplimiento de normativas para mantener sus datos a salvo. Sin embargo, hacerlo bien no es tarea fácil, ya que los avances tecnológicos plantean constantemente nuevas amenazas y abren nuevas vías para que los malos actores infrinjan el software de ciberseguridad.
Y puesto que los datos existen en tantas formas -incluidos los datos operativos, los datos financieros y la información sobre clientes y empleados- y en volúmenes tan enormes, es difícil para las organizaciones mantenerlos seguros, aunque gasten millones de dólares al año en ello.
Percepción frente a realidad: Brecha en InfoSec
Las empresas con 2.000 empleados pagan aproximadamente 528.000 dólares al año por funciones de InfoSec y cumplimiento de normativas. Sin embargo, los gastos asociados a la implantación y gestión de dichas funciones pueden alcanzar los 5,68 millones de dólares anuales, según un reciente estudio realizado por la agencia de inteligencia de la información Cognni.
“La mayoría de los responsables de la toma de decisiones no saben que su organización no puede detectar la mayoría de los riesgos para su información, y que el departamento de TI ni siquiera lo intenta”, señalaba el informe.
“Obviamente, esto conlleva riesgos informativos claros e inmediatos que nadie intenta siquiera mitigar.”
A pesar de los enormes costes, sólo el 4% de las empresas han implantado con éxito todas las funciones de seguridad de la información y cumplimiento de normativas que han adquirido, según Cognni.
Esta estadística contrasta fuertemente con el hecho de que el 89% de los ejecutivos de nivel C creen que sus equipos de TI han desplegado todas las funciones de InfoSec y cumplimiento que sus empresas han pagado, lo que revela que hay una gran brecha entre la percepción y la realidad cuando se trata de seguridad de la información, según el informe.
Según Cognni, hay tres razones principales por las que las implantaciones de InfoSec no tienen éxito. Veámoslas en detalle a continuación.
Las empresas no detectan la información personal sensible
Para protegerse contra el acceso no autorizado o la divulgación de información regulada, las organizaciones necesitan identificar dónde reside esa información. Cognni lo explicó:
“Por qué la mayoría de las empresas no consiguen implantar con éxito funciones de seguridad de la información y cumplimiento normativo”
Las empresas pueden no ser capaces de detectar toda su información personal sensible (SPI) porque no conocen las fuentes de esos datos o los tipos de documentos que los contienen. Además, aunque sepan qué buscar, es posible que no dispongan de las herramientas o procesos necesarios para identificar, supervisar y proteger su información.
Las organizaciones que no detecten y protejan adecuadamente la SPI probablemente sufrirán violaciones de la privacidad, filtraciones de datos y graves daños a su reputación.
A muchas empresas les puede resultar difícil entrenar el aprendizaje automático para detectar información sanitaria protegida, es decir, cualquier información sanitaria que esté protegida por ley, incluidos planes de tratamiento, resultados de pruebas e historiales médicos. Sin embargo, detectar información personal sensible, como expedientes disciplinarios, contratos de trabajo y nóminas, resulta casi imposible para casi todas las organizaciones.
Es mucho más difícil entrenar el aprendizaje automático para detectar tipos específicos de documentos que términos concretos dentro del texto. El resultado es que la mayoría de los tipos de SPI no se clasifican, supervisan ni protegen.
Las organizaciones no protegen la información confidencial interna
Todas las organizaciones tienen información patentada y/o documentos sensibles y confidenciales que a menudo deben compartir de forma segura dentro y fuera de la empresa. Sin embargo, las empresas que no protegen sus documentos confidenciales probablemente sufrirán la pérdida de ingresos y daños a sus marcas, y también pueden tener que pagar multas masivas por incumplimiento de la normativa.
En consecuencia, proteger la información confidencial y sensible es fundamental para el éxito a largo plazo de las iniciativas de InfoSec. El cifrado es una excelente opción para mantener seguros los datos sensibles de las empresas.
El informe de Cognni pone un ejemplo:
“[Por ejemplo, una empresa del sector turístico sufrió un ataque. El pirata informático se hizo con el control de una de sus cuentas de datos privilegiados y robó gigabytes de datos sensibles, incluida información confidencial interna. Esta información era accesible porque los datos de la empresa no estaban etiquetados ni cifrados de ninguna otra forma.”
Compartir información sensible conlleva riesgos
Los datos confidenciales de las organizaciones se presentan de muchas formas, como registros de RR.HH. de los empleados, información de clientes, documentos legales y financieros, datos operativos y mucho más. El tipo de información que los empleados necesitan para hacer su trabajo pero que no deberían compartir públicamente, ya que podría perjudicar a sus empresas si saliera a la luz.
Pero lo cierto es que, para realizar su trabajo, los empleados deben colaborar a menudo con otras personas, tanto dentro como fuera de sus organizaciones. Y eso a menudo significa que comparten datos corporativos confidenciales con personas y empresas sin permiso para acceder a ellos.
Existen dos tipos principales de riesgos: internos y externos.
“Las internas se producen cuando empleados en los que no se confía acceden a información confidencial”, señala el informe.
“Las exposiciones externas se producen cuando la información sensible se comparte fuera de una organización con personas u organizaciones que no tienen derecho a dicha información.”
Para garantizar la protección de sus datos confidenciales, las empresas deben saber a qué tipo de información acceden los empleados y cómo suelen compartirla. Para detectar eficazmente este tipo de exposiciones, las empresas deben establecer políticas claras que regulen qué empleados tienen permiso para acceder a qué tipos de datos y prestar mucha atención a cómo y con quién comparten esta información los empleados.
Las empresas deben asegurarse de que sus empleados son conscientes de la naturaleza sensible de la información a la que acceden a diario y de que entienden cómo deben manejar esa información. Si los datos corporativos sensibles de una organización acaban en las manos equivocadas, podrían utilizarse para cometer fraudes, robos de identidad u otras actividades maliciosas.
Por lo tanto, los empleados deben asegurarse de que protegen esta información y sólo la comparten con aquellos que tienen permiso para acceder a ella.
Lo esencial
Las organizaciones que quieran garantizar el éxito de sus iniciativas de InfoSec deben tomar las medidas proactivas necesarias para proteger su información corporativa sensible y mantenerla fuera del alcance de los malos actores.
Cognni sugiere tener en cuenta los siguientes pasos
- Mapear los datos críticos, ya que la mayoría de las empresas carecen de visibilidad de sus datos críticos, incluyendo su existencia y exposición.
- Etiquetar y cifrar los datos confidenciales internos.
- Clasificar y etiquetar los datos confidenciales para que los empleados sepan qué información es más sensible y educarlos para que puedan gestionar y mitigar los riesgos potenciales asociados a los datos.