Mejor llamarlo Día Internacional de la Concienciación para la Protección de datos
Con motivo del día internacional de Protección de Datos, María Ramírez, senior sale engineer de Trend Micro, expone las opciones de las compañías para ajustarse a las leyes de protección de datos.
Hoy se celebra, por séptimo año, el Día Internacional de la Protección de Datos. El principal promotor es el Consejo de Europa y esta celebración tiene como objetivo principal dar a conocer los derechos que tenemos los ciudadanos en cuanto a la protección de nuestros datos y a la privacidad.
El primer año que se celebró fue en 2006, el 28 de enero. Y a partir de ese momento, todos los años, en el mismo día, se ha celebrado. El hito que marcó el inicio de esta celebración fue la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.
La Agencia de Protección de Datos insiste sobre los derechos en materia de protección de datos y privacidad entre los ciudadanos, explica cómo debe hacerse uso de la información personal y anima a que se sigan las prácticas respetuosas con los derechos de los ciudadanos.
Y es que esta es una materia a tener muy en cuenta. Desde hace aproximadamente tres años estamos viendo que los principales desastres en materia de seguridad se producen por filtraciones no autorizadas de información confidencial hacia fuera de organismos o empresas. En ocasiones, la reputación de esas corporaciones se ve puesta en entredicho; pero, además, existe todo un marco legal asociado y una serie de consecuencias a terceros que pueden ocasionar que la empresa que tiene dicha brecha se vaya directamente a la ruina.
Los fabricantes de seguridad estamos siempre atentos a “qué es lo que pasa en Internet” y lo que se aprecia de forma cada vez más notoria, es que los robos de información confidencial o la fuga de información privada , ya sea de forma intencionada o por accidente, están afectando y mucho a usuarios de todo tipo.
En el pasado, aproximadamente hace unos 4 ó 5 años, los principales casos de pérdida de datos confidenciales se producían en grandes empresas, multinacionales conocidas y/o corporaciones que se sabía que poseían información privada valiosa y crítica. Pero ahora, ya cualquier empresa, independientemente de su tamaño, sector de actividad, o de su importancia, es susceptible de sufrir este problema, algo que le puede ocasionar graves dificultades, no solo legales, sino también de caída del negocio.
Desde hace tiempo, en el mercado existen tecnologías y soluciones específicas diseñadas para prevenir la fuga de información confidencial. Éstas consiguen de forma rápida, ágil y sencilla que un administrador pueda definir políticas anti-leak en su dispositivo central, identificando de forma personalizada qué es para su empresa información confidencial, los canales a controlar (web, email, ftp, impresora, impresión en pantalla, etc.), los usuarios a los que aplicar estas políticas y las acciones a realizar (bloquear el intento de fuga de esta información o monitorizarlo). Junto a esto ofrecen logs acerca de las acciones ocurridas relativas a fuga de información, datos forensics, o notificaciones a los clientes indicándoles por qué no se ha podido efectuar cierta acción. Del mismo modo, el control de dispositivos también está presente en estas tecnologías para evitar que de forma intencionada o sin querer, los usuarios puedan extraer ciertos documentos en discos USB, CDs-DVDs, etc.
Gracias a estas alternativas, muchas organizaciones han conseguido ajustarse a las leyes de protección de datos de sus respectivos países.
¿Qué piden los usuarios?
Lo que más demandan los usuarios de los sistemas de prevención de pérdida o fuga de datos, también conocidos por las siglas DLP (data loss prevention), es que sean fáciles de gestionar, hasta el punto de que no se haga necesario tener conocimientos avanzados de seguridad. La cantidad de políticas relacionadas con DLP que vienen ya preconfiguradas (PCI, HIPAA, etc.) en algunas de las ofertas existentes actualmente en el mercado, es otro factor a tener en cuenta, así como las notificaciones que explican con claridad al usuario el por qué no se ha podido hacer una determinada acción de extracción de datos; o el hecho de que se trate de una rápida puesta en marcha de la solución en la red.
Sin necesidad de alterar la arquitectura de red, las empresas están consiguiendo tener bajo control su información confidencial. Pero estas tecnologías DLP van más allá, pues algunas están pensadas para permitir a los usuarios una identificación flexible, que ayude a poder marcar los documentos confidenciales con “huellas” para tenerlos controlados, identificar datos mediante patrones, utilización de palabras clave o características específicas de ficheros que los convierten en privados.
Todo evoluciona, y la tecnología lo hace a una velocidad de vértigo. Por ello, los proveedores de seguridad debemos ser previsores e intentar ir un paso por delante o, cuando menos, a la par, para poder atender la demanda del mercado. Debemos ser capaces de poder “inyectar” nuestra inteligencia y experiencia en el terreno de la prevención de fuga de datos a otras soluciones de seguridad para cubrir el amplio espectro de elementos que componen las infraestructuras y redes informáticas con el único fin de blindarlos, -desde los puestos de trabajo, a la pasarela de correo de red, o al servidor de correo electrónico, pasando por lam navegación o la protección de portales documentales, etc.-, haciendo viable que el DLP esté presente en todo el entorno corporativo. A esta tecnología la denominamos iDLP (integrated Data Loss Prevention).
Hoy en día, con el exponencial crecimiento y sofisticación de las amenazas persistentes avanzadas, se hace indispensable contar con una solución iDLP para controlar tanto los recursos y como el patrimonio corporativo.