“La legislación actual garantiza la seguridad de la información”

La semana pasada, un episodio convulsionó el panorama mediático: el departamento de Hacienda y Finanzas del Gobierno británico había perdido dos CD’s con datos críticos (números de cuentas bancarias, domicilios, documentos de identidad…) de 25 millones de contribuyentes. El Ejecutivo Brown, que tardó ocho días en hacer público el suceso, ofreció una audiencia en el Parlamento Británico para explicar el entuerto.
Se ha reabierto el tarro de las esencias, y aunque en este caso Internet no andaba por medio, el tema de la protección de datos en la Red también se ha visto salpicado. Los ciudadanos tienen la sensación que sus datos más confidenciales circulan entre redes sociales, publicistas y expertos del mercado sin la suficiente protección.
Ante todo esto, y conscientes de la creciente responsabilidad que adquieren sus negocios, las empresas de seguridad se afanan en demostrar a los usuarios que Internet es un sitio seguro. Para lo que William Beer, director de estrategia de Symantec para Europa, y Luis Fuertes, director de marketing Enterprise de Symantec Iberia, han respondido a las preguntas de Silicon News.
– ¿Qué ha fallado para que los datos fiscales de 25 millones de británicos se hayan extraviado?
Si tuviéramos que apuntar a un único sitio, podríamos decir que lo que ha fallado ha sido la política de seguridad del departamento concreto encargado de recopilar y gestionar esta información (Hacienda y Finanzas). De acuerdo con el último estudio de seguridad en Internet llevado a cabo por Symantec, el ISTR en su volumen XII, un 46 por ciento de las pérdidas de información confidencial a nivel mundial se deben a pérdidas o robos físicos de información en todo tipo de soportes (ordenadores, memorias USB, discos de todo tipo) y un 34 por ciento se deben a fallos en las políticas de seguridad de las organizaciones, bien por una implantación incorrecta, bien por una ausencia total de dichas políticas. Únicamente un 16 por ciento de dichas pérdidas se deben a actos puros de ciberdelincuencia.
En Symantec trabajamos en la dirección de eliminar estas carencias en dos direcciones fundamentales: proporcionar tecnología puntera que ayude a las organizaciones a poner en marcha, automatizar y gestionar políticas de seguridad, y a través de la puesta en marcha de iniciativas de concienciación a todos los niveles (usuarios, organizaciones privadas y administración pública) para crear una concienciación de la necesidad de disponer siempre de políticas de seguridad correctamente gestionadas por parte de las propias organizaciones y de las personas que las componen.
Este caso ha sido la gota que ha colmado el vaso, ya que se han producido muchos casos parecidos sin que hayan trascendido a la opinión pública. ¿Cómo se puede parar la brecha de datos?

Actualmente, las organizaciones, tanto públicas como privadas, se enfrentan a una cantidad cada vez mayor de amenazas a la seguridad y confidencialidad de sus datos, que pueden afectar a sus entornos, además de poner en peligro el cumplimiento de políticas y normativas, representando una seria amenaza tanto para estas instituciones y empresas, como para los ciudadanos, en este caso. Los directores y administradores de TI necesitan contar con las herramientas y con la información necesarias para permitirles valorar su seguridad y disponibilidad de la información, y desarrollar un plan coherente para gestionar su seguridad, ante las amenazas permanente.

Incluso las organizaciones más disciplinadas no cuentan con todas las personas, procesos, tecnologías y tiempo necesarios para gestionar un programa proactivo de respuesta ante incidentes y con capacidad para satisfacer el cumplimiento de políticas y normativas.

La solución no pasa por aplicar sólo la correcta legislación o la última tecnología, si no un compendio de ambas. Con el uso e implementación de las tecnologías adecuadas, se puede garantizar el cumplimiento de las normativas vigentes, pero además es necesario educar y formar a los trabajadores y usuarios de la importancia de cumplir con las políticas de seguridad implantadas en las empresas o instituciones.
-La noticia ha estallado en un momento en el que el debate en torno a la protección de datos en Internet es bastante fuerte. ¿Pueden estos episodios cambiar los habitos de los usuarios y disminuir su confianza en la Red?

La confianza es un componente esencial en el mundo digital actual y, en concreto, en el uso de los servicios y aplicaciones de la Web 2.0. Las empresas necesitan tener la máxima confianza para saber que tienen garantizada la seguridad de su información y de sus interacciones. De lo contrario, el estilo de vida digital no sería tan interesante o dinámico, y no podríamos extraer el máximo potencial de lo que pueden ofrecer las tecnologías al mundo conectado. Internet ha cambiado las formas que utilizan los consumidores para realizar transacciones bancarias, comprar o interactuar a través de la Red, además de permitirles conectarse directamente a bancos y a tiendas online para realizar operaciones comerciales. Al mismo tiempo, las presiones de la competencia empresarial global están impulsando a las organizaciones para aumentar sus colaboraciones a través de la Red y para compartir su información de forma cada vez más inmediata, con unos empleados cada vez más distribuidos, además de con suministradores y socios repartidos por todo el mundo.
¿Qué papel pueden cumplir las empresas de seguridad informática para que no se repitan esta clase de acontecimientos?
Teniendo en cuenta la entrada en vigor de nuevas normativas, además del altísimo valor que tiene la información para las empresas, cada día están más concienciadas de la necesidad de invertir en soluciones que garanticen la disponibilidad y seguridad de sus datos. El almacenamiento aislado ya no tiene sentido, la tendencia está claramente marcada por la combinación de soluciones de almacenamiento y seguridad.


El objetivo del almacenamiento es salvaguardar la información de negocio de las compañías, posibilitando una total disponibilidad y seguridad de la información, para garantizar la Integridad de la Información. Dentro de las tecnologías puramente de almacenamiento, Symantec apuesta fundamentalmente por el ‘backup’ a disco y por el archivado de ficheros y correo electrónico, las
técnicas más básicas para construir todo un plan ante desastres.
-La situación en España: se ha dado algún caso parecido? Están las empresas/instituciones preparadas para garantizar la confidencialidad de los datos de los usuarios?
La situación en España no difiere del resto de los países de su entorno. El grado de preparación a distintos niveles (público y privado) es muy variado, como refleja el estudio de Entidades Locales arriba mencionado en el que Symantec ha colaborado con Inteco. Symantec trabaja activamente con sus clientes, a través de sus ofertas de tecnología y servicios, para lograr minimizar las pérdidas de información confidencial de las empresas. Así mismo, la compañía trabaja continuamente para educar y concienciar a las empresas e instituciones en la necesidad de implantar procesos y tecnologías que eviten este tipo de incidentes.
Todos indican que el referente legislativo en materia de protección de datos parece ser el Estado de California…

La ley actual de Protección de Datos, la LOPD, recoge en su actual Reglamento para el tratamiento de ficheros automatizados las líneas maestras en lo tocante a medidas de seguridad que deben implantarse en las organizaciones cuando se trata de manejar información de carácter personal. En los próximos meses verá la luz un nuevo reglamento que revisa y mejora las medidas recogidas en el actual reglamento, y que se inspiran en las directivas europeas en materia de protección de datos. Si bien es cierto que el Estado de California fue pionero en lo referente a obligar a las organizaciones a declarar las pérdidas de información confidencial sufridas, no es menos cierto que la legislación hoy vigente por sí misma es suficiente para garantizar un tratamiento correcto de la información personal y confidencial si es aplicada de forma correcta.
Por ello, en Symantec apostamos no por un endurecimiento de la legislación, o por la aparición de nuevas legislaciones al respecto, sino por ayudar a las organizaciones con nuestra tecnología y servicios a implantar políticas de seguridad y medidas adecuadas de control que permitan garantizar la eliminación de las pérdidas de información.