Siempre ha existido la preocupación por el salvaguardo de la información, pero en épocas donde la línea divisoria entre tiempo laboral y personal, sitio de trabajo y ocio, proveedor y cliente son cada vez más difíciles de establecer, las medidas a implantarse requieren de una mayor planificación. La percepción que tenemos del riesgo que implica una pérdida o fuga de información es distinta en relación a diferentes factores, en especial considerando las normativas legales.
No toda la información se genera de la misma forma. ¿Por qué debemos proteger a todos los datos por igual? Tampoco es estática, y en el flujo de su tratamiento pasa por diferentes manos y se accede de diferentes maneras, ¿Por qué centrar el control en un único punto? La protección de la información requiere pensar de forma diferente, la securización del dato debe estar presente en todo el ciclo de vida de la información.
Las consideraciones para el análisis del riesgo y la implantación de medidas deberán establecerse independientemente de: uso, localización, dispositivo y tipo de acceso.
Es realmente imposible proteger todos los datos y todos los dispositivos con el mismo nivel de exigencia, se hace prioritario la clasificación de los activos de información, para una vez categorizados, proceder a su tratamiento.
Dicho reparto puede estar relacionado con la criticidad que establezcamos que tiene la información para la empresa o las personas o bien en virtud de los requerimientos legales o normas reguladoras que apliquen en cada caso. (LOPD, SOX,…)
Existen dos modos de actuar:
- Impedir que alguien no autorizado acceda a un tipo de información determinado
- Establecer puntos de control en los medios en los cuales reside la información
Una vez más, moverse en los conceptos de protección de la información (ya sea preventivo o no) y de derechos de uso de activos digitales se torna, como menos, confuso. En la actualidad, las herramientas que pueden ayudar a implantar medidas son muy variadas, desde la encriptación de los datos hasta la monitorización de eventos.
La concienciación es una acción fundamental para asegurar el cumplimiento de las políticas de tratamiento de la información, ya sea mediante comunicación o formación, pero siempre con el fin último de hacer co-partícipes a los empleados de la vigilancia de la información (dos vigilan mejor que uno).
La tecnología no lo cubre todo y nada podrá impedir que una persona con los derechos oportunos, divulgue información intencionadamente (memorice datos, fotografíe, etc.), por lo cual generar un esquema de gestión basado en la confianza en las personas, es una de las principales bases que no deben descuidarse.
Por ello, desde Bip entendemos que la solución que debe aplicarse no sólo se realiza a través de la implantación de productos, sino en el buen gobierno de la información, mediante unas políticas de actuación que acompañen al tratamiento de los datos.
Bien podemos hacer una analogía del famoso libro de Spencer Johnson “¿Quién se ha llevado mi queso?”, ya que de la interpretación que tengamos de la información (nuestro queso), dependerán las acciones que decidamos realizar (el laberinto), porque las cosas no se arreglan por sí solas.
Protección de la Información: PREVENIR o PROTEGER
En Bip, tenemos bien claro que la clasificación adecuada de los datos y su aportación a la generación de información es el primer paso para proteger nuestros activos digitales. Esto nos permitirá tener un conocimiento tanto de nuestros activos, como de su coste e impacto en el caso de pérdida de información.
Podemos centrar el desafío en ¿cómo hacer para que la información no salga de la empresa? El eslabón más débil en todo el proceso es el usuario. Sin embargo las estadísticas indican que la mayoría de las veces, la fuga de información se produce por cuestiones accidentales o por pérdidas de dispositivos. En segundo lugar, es el acceso indebido a la información que hemos clasificado como sensible por parte de personas o empresas que no se corresponde con el proceso de tratamiento de dicha información.
Por lo tanto, debemos combinar convenientemente acciones de prevención con aquellas medidas de protección que establezcamos para los diferentes niveles que se definan de información.
