etiquetas

Sólo un 28% de las empresas europeas dispone de tecnología de prevención de pérdida de datos

Fecha: Vie, 14/05/2010 - 12:48 Fuente: Dpto. de comunicación de CA

Si no se toman las medidas necesarias para identificar los datos confidenciales y protegerlos ante una pérdida o uso indebido, las organizaciones ponen en riesgo el cumplimiento de políticas y regulaciones, la reputación de su marca y su competitividad

Sólo un 28% de las empresas europeas dispone de tecnología de prevención de pérdida de datos William McCracken, CEO de CA

CA, el principal proveedor independiente del mundo de software de gestión TI, anuncia los resultados de un estudio europeo sobre seguridad TI que revela que sólo el 28 por ciento de las organizaciones europeas tiene implantada alguna tecnología de prevención de pérdida de datos (DLP en sus siglas en inglés). Si no se toman las medidas necesarias para identificar los datos confidenciales o sensibles de toda la empresa y para protegerlos ante su pérdida o uso indebido, las organizaciones corren el riesgo de graves consecuencias como el no cumplimiento de políticas o regulaciones, daños a la reputación de su marca y la reducción de su competitividad. El informe, titulado “You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness”, ha sido elaborado por la firma de investigación Quocirca -en nombre de CA- en 14 países: Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia.
Según este estudio, los departamentos de TI se esfuerzan por responder a cuestiones relacionadas con el cumplimiento como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma de seguridad de la información ISO 27001. Sorprende el hecho de que, a menudo, las empresas desconocen cómo puede ayudarles la tecnología y no son capaces de convencer a los responsables de las líneas de negocio de los riesgos que corren a fin de justificar la inversión necesaria en TI. Esto sucede a pesar de que muchas organizaciones esperan que la privacidad de datos sea el área de regulación que más les va a afectar en los próximos 5 años (con una gravedad del problema puntuada con 3,2 en una escala de 1 a 51).
La falta de tiempo y de recursos, seguidos de la gran cantidad de procesos manuales (puntuadas con 2,82) hace que los responsables de TI tengan dificultades para resolver las cuestiones de cumplimiento. La mayoría de las organizaciones encuestadas también admite que carece de una “visión de cumplimiento” (puntuación 2,7). Todos estos problemas podrían resolverse fácilmente si llevaran a cabo el seguimiento y control de sus datos de manera más efectiva. Sin embargo, esto parece no ser prioritario: el estudio revela que el ‘seguimiento del uso de los datos’, puntuado con un 2,5, no se considera un obstáculo para el cumplimiento de normativas.
El malware sigue siendo la principal preocupación para los gestores de la seguridad TI (puntuado con un 2,9 en una escala de 1 a 53) y, normalmente, se combate con soluciones de seguridad perimetral y control de contenido entrante. El resto de las principales amenazas citadas por los encuestados están relacionadas con el uso de los datos dentro de la organización: uso de Internet (2,7), gestión de datos sensibles o confidenciales (2,7) y la actividad de usuarios internos y externos (2,7). Las tres tienen en común que comparten datos entre los usuarios, a menudo a través de Internet, y éste es el escenario que está detrás de muchos de los incidentes bien conocidos en los que se han perdido datos confidenciales.
Una arquitectura orientada al cumplimiento podría ayudar a aliviar el problema de la pérdida de datos porque enlaza el uso de los datos con las personas a través de políticas de aplicación obligatoria. La arquitectura orientada al cumplimiento se define como “un conjunto de políticas y mejores prácticas que se hacen cumplir siempre que sea aplicable con tecnología, minimizan la posibilidad de pérdida de datos y proporcionan un registro de auditoría para poder investigar las circunstancias en caso de violación de la seguridad”.
Para que una arquitectura orientada al cumplimiento sea efectiva debe constar de tres elementos. En primer lugar, soluciones de gestión de identidades y accesos que permitan comprender las funciones y responsabilidades de las personas, definir y hacer cumplir sus privilegios. Resulta interesante que sólo el 24% de las organizaciones europeas cuenta con un sistema de gestión de identidades y accesos completo. En segundo lugar, es necesario poder localizar y clasificar los datos. En este sentido, sólo el 50 por ciento de los encuestados afirma disponer de un sistema para ello. El tercer y último elemento para una buena arquitectura orientada al cumplimiento es una manera para hacer cumplir las políticas que enlace las funciones o roles de las personas con el uso que hacen de los datos. Muchas herramientas de prevención de pérdida de datos automatizan el segundo y el tercero de los requisitos anteriores, aunque a diferentes grados, pero como hemos visto sólo el 28 por ciento de las organizaciones europeas utiliza este tipo de herramientas.
Además de ofrecer la capacidad de descubrir y clasificar los datos de forma precisa, este planteamiento, que se centra en la identidad, ayuda a la definir las políticas de uso en el contexto del negocio porque permite monitorizar e inspeccionar la información y hace cumplir las políticas predefinidas en función de los derechos de cada individuo. En última instancia, las organizaciones deben lograr el equilibrio entre proteger su información crítica ante los abusos y adoptar medidas de seguridad flexibles que permitan a los usuarios dar su mejor rendimiento.
Las herramientas DLP también se utilizan para controlar información, especialmente porque los organismos reguladores endurecen las medidas obligatorias en un esfuerzo por conseguir una disciplina más creíble y disuasoria. Por ejemplo, algunas organizaciones utilizan herramientas DLP que tienen más funciones de análisis de contenido para identificar y evitar la fijación de precios, manipulación de licitaciones y la connivencia. Otras, en cambio, lo utilizan simplemente para garantizar que sólo se distribuyan las versiones más recientes de los informes públicos. Las herramientas DLP también son clave para educar a los usuarios de la información, impulsando una cultura que observe el cumplimiento en toda la empresa, por ejemplo, alertando a los usuarios de que determinadas acciones con algunos tipos de datos violan las políticas de seguridad corporativas.

Las organizaciones que adoptan todos los elementos de la arquitectura orientada al cumplimiento obtienen los beneficios de este planteamiento de distintas formas:
•         El 41% de los encuestados con un sistema completo de gestión de identidades y accesos no tiene problemas con la cancelación segura de los derechos de acceso de los empleados; ese porcentaje baja al 3% para aquellas compañías que no cuentan con semejante sistema.
•         Más del 90% de las organizaciones que han implantado tecnología DLP afirma que está bien preparada para proteger su propiedad intelectual y los datos personales, mientras que sólo el 26% de los que no tienen DLP reconoce que lo está.
•         Una arquitectura orientada al cumplimiento no tiene que inventarse de cero, sino que puede basarse en estándares de seguridad ampliamente adoptados, como la ISO 27001. La encuesta revela una fuerte correlación entre ambos: el 43% de las organizaciones que ha adoptado el estándar ISO 27001 cuenta con una solución completa de gestión de identidades y accesos, y el 49% también utiliza herramientas de DLP. Por lo tanto, es evidente que estas tecnologías pueden hacer que una organización dé un salto importante hacia un mejor cumplimiento de las regulaciones.
 
A medida que las organizaciones adoptan cloud computing para procesar y almacenar datos en una infraestructura gestionada por terceros tienen una mayor necesidad de aplicar políticas de seguridad a nivel de datos. La encuesta de CA subraya que la seguridad informática es un factor clave para hacer posible el uso de "cloud computing" (puntuado con 3,2 en una escala de 1 a 54, la segunda puntuación más alta después de "uso de la virtualización” como tecnología clave para facilitar el cloud computing). Las herramientas DLP ayudan a comprender la sensibilidad de los datos y permiten tomar decisiones en tiempo real sobre lo que se puede y lo que no se puede procesar y almacenar en cada entorno cloud. No debe esperarse que los empleados comprendan todos los problemas porque puede que no sean conscientes de que copiar un documento de una ubicación a otra significa moverlo de una infraestructura gestionada internamente a otra gestionada por terceros.

“El informe de CA You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness es una evidencia clara y oportuna de que las organizaciones requieren una tecnología DLP para apoyar sus necesidades de cumplimiento, proteger el valor de su marca y maximizar su competitividad ", afirma Shirief Nosseir, director de Marketing de Productos de Seguridad en Europa, CA. "A medida que se desdibujan los perímetros de la red, se hace patente que las medidas de seguridad deben aplicarse a los datos a lo largo de su ciclo de vida y no sólo a los activos de red. Es preciso comprender y clasificar la información con políticas que se apliquen determinando quién puede utilizarla y cómo. Enlazar la tecnología de gestión de identidades y accesos con la de prevención de pérdida de datos ofrece la combinación perfecta para lograr este objetivo: permitir a las organizaciones descubrir, monitorizar y controlar la información crítica dondequiera que se encuentre, garantizando al mismo tiempo que la información sólo la utilizan las personas adecuadas de la manera correcta y de acuerdo con sus funciones y privilegios. En esencia, con la proliferación de información sensible que circula entre las empresas, esta combinación permite un enfoque práctico muy necesario para la aplicación del principio de privilegios mínimos justo en el nivel de los datos".
Bob Tarzey, analista y director de la firma Quocirca Ltd. señala: “Las recientes violaciones de datos especialmente sensibles demuestran que los datos almacenados electrónicamente no están suficientemente cuidados. Este fracaso en la protección de datos es costoso y no sólo por las multas que están imponiendo los organismos reguladores. Además de esto, existe el daño que conlleva a la reputación y a la competitividad. Hoy en día existe tecnología para enlazar el uso de los datos con las personas a través de políticas de aplicación obligada. Esto permite establecer una arquitectura orientada al cumplimiento basada en los estándares de seguridad de la información ampliamente aceptados, como la ISO27001. De este modo las organizaciones pueden permitir que se comparta la información de forma segura, tanto interna como externamente, garantizando tanto los procesos de continuidad del negocio como el buen gobierno de los datos”.

Variaciones del mercado
La tecnología DLP está más implantada entre las compañías de telecomunicaciones y medios de comunicación (37%), probablemente por el valor relativamente alto que otorga al uso seguro de los datos, mientras que en el sector industria es donde está menos implantada (18%). Dada la responsabilidad que tienen las administraciones públicas sobre los datos de los ciudadanos y las organizaciones de servicios financieros sobre los datos confidenciales que están en su poder, los bajos niveles de implantación que se registran en este ámbito (26%) deberían ser una preocupación para los organismos reguladores. El uso limitado de la tecnología DLP en el sector industria quizás explica por qué este segmento se siente menos preparado para proteger la propiedad intelectual, en particular en una actividad donde tiene tanta importancia (puntuado 3,3 en una escala del 1 al 55).
 
Metodología de la encuesta
El estudio ha sido realizado por Quocirca, una firma de investigación y análisis especializada en el impacto de las TIC en el negocio. En la segunda mitad de 2009 se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de 14 países europeos (Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia). Las empresas encuestadas se encuadran en los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.

1 La gravedad del problema se midió en una escala de 1 (disminuirá mucho) a 5 (aumentará mucho).
2 La gravedad del problema se midió en una escala de 1 (no es un problema) a 5 (es un gran problema).
3 El riesgo percibido se midió en una escala de 1 (no es un riesgo) a 5 (es una seria amenaza).
4 La importancia de la seguridad TI se midió en una escala de 1 (no es importante) a 5 (muy importante).
5 El riesgo percibido se midió en una escala de 1 (muy mal preparados) a 5 (muy bien preparados).

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar