Más allá de las polémicas generadas por el escándalo de los #PanamaPapers, el mismo deja al descubierto la necesidad por parte de las organizaciones de contar con una estrategia de Ciberseguridad y protección de datos específica, de acuerdo a sus objetivos de negocio.
Tal como se ha visto en este y casos anteriores, las consecuencias de una brecha de seguridad de esta magnitud son muy profundas y variadas. Solo por citar tres ejemplos:
- Reputación: Una gran cantidad de empresas y particulares confían en sus asesores legales. Luego de la brecha, ¿mantendrán éstos la misma confianza? ¿Y qué sucederá con los potenciales clientes?
- Legales y Regulatorias: Dependiendo de la industria y el tipo de datos gestionados, las empresas pueden estar reguladas y sujetas a multas y sanciones legales frente a brechas de seguridad. Internacionalmente, el almacenamiento y gestión de información personal[1], la gestión de información clínica[2] y la gestión de datos de tarjetas de pago[3], son solo algunos ejemplos de industrias o segmentos de empresas que están regulados. Adicionalmente, los clientes pueden contemplar cláusulas contractuales que definan multas económicas en caso que la organización sufra un incidente de seguridad.
- Económicas: Más allá de las potenciales sanciones y punitorios legales, la brecha tiene un impacto directo en los clientes que se perderán y en el esfuerzo adicional para ganar nuevos. Además, este tipo de incidentes suele involucrar gastos adicionales, como por ejemplo una agencia de Relaciones Públicas para gestionar las comunicaciones del incidente, un equipo forense informático especializado para investigarlo, etc.
Sin embargo, no es necesario desesperarse y salir a implementar soluciones tecnológicas indiscriminadamente. Una mejor opción, es invertir y dedicar esfuerzos de forma inteligente para desarrollar una Estrategia de Ciberseguridad acorde a la organización y basada en los riesgos reales a los que está expuesta.
Las soluciones tecnológicas son necesarias, pero deben ser elegidas e implementadas de acuerdo a las características propias de cada compañía. No existe un único control de seguridad que proteja de todas las brechas. Cada organización tiene su propio ecosistema y para desarrollar una estrategia de seguridad acorde, es necesario comprenderlo cabalmente.
Para esto, poniendo el foco en los datos, las siguientes preguntas serán de gran ayuda al momento de identificar los puntos críticos y establecer prioridades.
- ¿Cuáles son los datos críticos para que su compañía pueda operar?
Mínimamente la información de los clientes, datos alcanzados por alguna regulación (por ejemplo datos de tarjetas de pago), información sobre propiedad intelectual que le brinde a la organización una ventaja competitiva, etc.
- ¿Están alcanzados por alguna regulación? ¿Por cuál?
Dependiendo del tipo de dato e industria, la organización puede estar regulada. Es fundamental conocer las regulaciones que deben cumplirse para conocer cuáles son los controles o medidas de seguridad que deben implementarse. Algunos ejemplos de regulaciones son PCI-DSS, regulaciones de protección de la privacidad y el Acuerdo 6-2011 de la Superintendencia de Bancos de Panamá.
- ¿Dónde están almacenados esos datos?
¿Están almacenados en los servidores corporativos de la organización? ¿En la nube? ¿Están distribuidos en dispositivos de los usuarios, tales como Smartphones o Tablets? ¿Son procesados por una aplicación externa? ¿Son accedidos y/o gestionados por proveedores?
- ¿Cómo se transmiten esos datos?
¿Se transmiten únicamente dentro de la red interna? ¿Se transmiten a través de Internet? ¿Se utilizan dispositivos móviles y/o USB drives?
- ¿Actualmente cómo protege esos datos?
¿Qué controles o medidas de seguridad tiene implementadas para protegerlos? ¿Cuál fue el criterio de decisión para implementarla? ¿Está midiendo la eficacia de esos controles?
- ¿Cómo reaccionaría frente a un incidente de seguridad?
¿Tiene definido un Plan de Respuesta a Incidentes en caso de ser víctima de una brecha o incidente de seguridad?
Estas son algunas de las preguntas que permiten identificar las características principales de una organización y sentar las bases para desarrollar una Estrategia de Ciberseguridad a medida, en función de los riesgos reales a los que está expuesta. A partir de aquí, es posible seleccionar las soluciones tecnológicas que mejor se adapten o incluso optimizar las actuales.
Y su empresa ¿ya implementó una Estrategia de Ciberseguridad? ¿Está midiendo su efectividad?
R&D Consulting puede ayudarte en el desarrollo de soluciones tecnológicas para la seguridad de la información, como la implementación de ISO 27001 y programas de “ethical hacking” acoplados a su organización. Contáctanos para solicitar mayor información.
[1] Los datos de carácter personal son regulados en la mayoría de los países de América y Europa. Panamá es uno de los pocos países que aún no tiene regulación específica en materia de protección de datos personales.
[2] En los Estados Unidos HIPAA (Health Insurance Portability and Accountability Act) es una regulación que protege los datos personales de carácter médico e impone severas sanciones a las organizaciones que no cumplen los requerimientos y son víctimas de una brecha de seguridad. En Europa y Latinoamérica, los datos clínicos son considerados datos sensibles dentro de sus legislaciones de Protección de Datos Personales.
[3] La regulación PCI-DSS (Payment Card Industry – Data Security Standard) define una serie de requerimientos de seguridad de los datos para todas aquellas compañías que almacenan, transmiten o procesan datos de tarjetas de pago, independientemente de su industria y tamaño.