PROTEGER LA INFORMACIÓN EMPRESARIAL

La información de una compañía es considerada uno de los activos más importantes de la misma. En muchos casos, se ha descubierto que los propios empleados de una empresa son el punto de fuga de valiosos secretos institucionales. Por ello, la debida protección de la información es un punto importantísimo para el éxito de una compañía. Va más allá del simple almacenamiento de datos. Como información crítica para el negocio, se ha de prevenir además su pérdida y garantizar la confidencialidad y su disponibilidad en cualquier momento.

A menudo oímos hablar de la importancia de almacenar y proteger los datos de una empresa, pero es más importante saber qué datos se deben salvaguardar y cómo. Esta información es mucho más que un volumen indefinido de datos que se van almacenando para una posterior consulta ocasional. Se trata de la información vital para una empresa, una información que se utiliza a diario, a menudo sin darle mayor importancia, pero cuya pérdida tendría como resultado el cierre del negocio.

Los nombres y direcciones de los clientes y proveedores, los datos de contacto del personal de la empresa, las cuentas financieras, o las ideas y diseños de propiedad intelectual o industrial forman parte de esta información empresarial que la compañía debe proteger. En muchos casos existen además leyes y normativas que obligan a su protección, y esta tarea no sólo recae en el personal de TI sino que es responsabilidad de todos los empleados. Proteger esta información es salvaguardar el negocio, hacerlo más fiable y asegurar su continuidad. Para conseguirlo hay que tomar medidas que prevengan tanto su pérdida como su interrupción, y evitar daños en la información confidencial y en los sistemas que son vitales para el correcto funcionamiento del negocio.

Las pymes trabajan en entornos altamente competitivos, y dependen de una base de clientes reducida. Cualquier pérdida de información impactaría en todo el negocio, con un efecto que sería mucho más catastrófico que en el caso de una gran empresa. En primer lugar, una interrupción de su actividad afectaría gravemente a la situación financiera de la empresa reduciendo más aún un ya de por sí apretado flujo de caja. Y en segundo lugar, una brecha en la seguridad de la empresa perjudicaría a la reputación que se tenga frente a los clientes, un efecto que perduraría a largo plazo.

Otra de las actitudes comunes por las que las pymes perciben menos riesgo es la creencia de que su información de negocio es poco valiosa, que no son un objetivo atractivo para ladrones y hackers. Pero delitos como el robo de identidad y el phising son demasiado comunes, y los negocios, con independencia de su tamaño, suponen siempre un atractivo para los delincuentes. Además, no se trata tan sólo de proteger el propio negocio sino que existe una responsabilidad moral y legal sobre la información que posee la empresa, especialmente cuando se trata de datos personales de clientes y empleados. Un plan de seguridad efectivo debe anticiparse a un amplio rango de riesgos y saber qué hacer en caso de que alguno se produzca.

Virus, gusanos o troyanos son también términos bien conocidos por el personal de TI de las empresas, aunque son riesgos que se pueden evitar gracias a un software antivirus. Pero más allá de estos riesgos informáticos existen otros menos impredecibles que pueden afectar por igual a la información electrónica de la empresa, como un incendio fortuito o la inundación de las instalaciones de la empresa, la eliminación por accidente de parte o el total de los datos o un fallo en el disco duro de un ordenador.

Mantenerse a salvo de las amenazas informáticas es un trabajo a tiempo completo y en muchas ocasiones, en especial cuando se trata de una empresa pequeña, el personal de TI tiene demasiadas demandas como para dedicar más tiempo a la seguridad informática. Los informáticos se enfrentan al dilema de solventar los problemas más inmediatos del día a día o adelantarse a las últimas amenazas que van surgiendo, porque cada vez más, estar al tanto de los nuevos riesgos exige invertir más tiempo. A la hora de calcular la inversión económica en seguridad, hay empresas que ponen mucho empeño en proteger los dispositivos físicos, como el hardware, mientras que en muchos casos el valor de la información empresarial que se almacena en ellos es mucho mayor que el valor del propio equipo. El coste económico que supondría para la empresa el extravío de esa información debe ponerse en la balanza de cálculo, de manera que se equilibre el valor de la información con el coste de protegerla.

La tecnología de información (TI) ha venido reformando los procesos administrativos en las empresas de hoy día permitiendo que los procesos se integren más fácilmente y a la vez sean más eficientes, además posibilita agilizar el tener información necesaria para la toma de decisiones, todo esto es posible en la mayoría de los casos gracias a la penetración que ha logrado la tecnología del Internet.

Puntos a tomar en cuenta a la hora de proteger la información empresarial.

1. Establecer Políticas de Seguridad que cubran toda la Información de la Compañía.
Esto incluye identificar al propietario de la información y señalar a que personas se les permite acceder a ella y en qué momento. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.
 
2. Asegurar el 'Elemento Humano'.
Las personas son el elemento más importante de un programa de Seguridad de la Información. Al fin y al cabo, la difusión de información está bajo su control. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDAs, no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.
 
3. Utilizar Barreras Físicas de Seguridad.
Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizadas para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens (pequeño dispositivo de hardware que los usuarios cargan consigo para autorizar el ingreso a un servicio de red) y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los 'recolectores de información', así como también de algunos empleados  que examinan los residuos de las oficinas. Tenga en cuenta que las destructoras de papel no son 100% seguras, ya que los documentos pueden ser reconstruidos en forma manual o digital.
 
4. Actualizar sus Herramientas Electrónicas de Seguridad.
La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso –claves en PCs y redes, firewalls y aplicaciones de control-  previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos.
 
5. Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes.

El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes. 

Es indudable que las empresas, especialmente aquellas que tienen sus operaciones interconectadas a través de la red pública corren un alto riesgo de que su información llegue a estar en poder de manos no deseadas y que el manejo de la misma por estos medios agiliza su flujo y permite a las empresas dar respuestas más rápidas al mundo cambiante de hoy, pero aquellas que se enfocan en darle la importancia y el valor correcto a este aspecto cuidan uno de los activos más valiosos en estos tiempos ya que si se quedan sin el pueden hasta perder su propio negocio.

• Masters de SAP CRM
• Masters de Diseño Gráfico
• Masters de Marketing Digital
• Masters de Big Data
• Masters de Peritaje