Los costos de la mala seguridad

El mes pasado, Sony reveló el precio asociado con la limpieza de la violación de seguridad masiva que expuso la información personal de más de 100 millones de usuarios de sus servicios de transmisión multimedia PlayStation Network y Qriocity: al menos $ 171 millones. Según el presidente de Sony, Sir Howard Stringer, fue la infracción más grande de este tipo que jamás haya experimentado una empresa, y la asombrosa suma cubrirá las mejoras de seguridad, la compensación del cliente y los servicios de investigación. Pero el costo total será más difícil de medir, porque incluirá la pérdida de confianza del cliente en la empresa.





Mantenerse al día: Enterprise Strategy Group, una firma consultora, preguntó a 308 profesionales de TI de grandes empresas qué factores motivaron sus decisiones para mejorar la seguridad de los datos. El cumplimiento normativo encabezó la lista

El episodio fue un recordatorio de lo que está en juego en la seguridad de los datos y un indicador de que muchas organizaciones no se están protegiendo lo suficientemente bien. Cuando se trata de todos estos problemas de seguridad, las empresas no están gastando por adelantado, sino que tienen que gastar mucho dinero en el back-end para arreglar las cosas, dice Thomas Ristenpart, investigador de seguridad informática de la Universidad de Wisconsin, Madison.

Este mes, Impacto de negocios se centra en proteger los datos contra robos y pérdidas. Exploraremos las tácticas de seguridad que las empresas deberían utilizar, las inversiones que deberían realizar y las preguntas que deberían plantearse. Examinaremos prácticas inteligentes para dispositivos móviles, trabajadores remotos y computación en la nube, y obtendremos información de los mejores pensadores en el campo.



Las amenazas a la seguridad de la información se están multiplicando en parte porque los almacenes de datos del mundo están creciendo rápidamente a medida que el costo del almacenamiento se desploma y la disponibilidad de computadoras y el acceso a la red se expande. A medida que crece esta veta madre de datos, también lo hace su atractivo para los delincuentes y piratas informáticos.

Para protegerse, las empresas pueden imponer controles de acceso a los datos confidenciales, cifrar estos datos y administrar adecuadamente las claves de cifrado, auditar las actividades de los usuarios y contratar consultores para asegurarse de que las prácticas de seguridad estén actualizadas. Y dado que el eslabón débil de la cadena de seguridad suele ser la gente, una de las cosas más importantes que pueden hacer las empresas es simplemente capacitar a los empleados en prácticas básicas de seguridad de datos. El paquete de historias de este mes argumentará que la seguridad de la información no es solo una cuestión de la que deba preocuparse el departamento de TI. Tiene que registrarse en toda la empresa, comenzando en los niveles más altos, donde se toman las decisiones sobre inversiones de capital.

Grandes preocupaciones: La misma encuesta del Enterprise Strategy Group pidió al mismo grupo de empleados de TI que identificaran los puntos débiles en la seguridad de su red.



Un gran desafío se reflejó en una hoja de ruta de investigación en ciberseguridad de 2009 (PDF) producido por el Departamento de Seguridad Nacional de EE. UU. Entre otras cosas, descubrió que debido a que las tecnologías de la información y los métodos de ataque están evolucionando tan rápido, a las organizaciones les resulta difícil determinar si sus datos se están volviendo más o menos seguros, si son más o menos seguros que los de otras organizaciones y si un determinado el nivel de inversión vale la pena. No ayuda que muchas organizaciones evalúen preguntas básicas sobre seguridad desde una perspectiva financiera a corto plazo, a pesar de que los análisis de costo-beneficio son difíciles de realizar porque el costo de no tomar las medidas de seguridad adecuadas puede no ser evidente durante años. Las decisiones resultantes de tales análisis con frecuencia serán perjudiciales para realizar mejoras de seguridad significativas a largo plazo, dice el informe.

Complica aún más las cosas que cuando se producen violaciones de datos, las empresas no siempre son completamente comunicativas. (Sony tardó seis días en advertir a los usuarios que su información había sido expuesta). Las respuestas más rápidas ayudarían a las víctimas o posibles víctimas, individuos o empresas cuyos datos estuvieron expuestos a tomar medidas para mitigar el daño.

Los posibles cambios en las regulaciones gubernamentales podrían endurecer las reglas sobre cómo se informan estas infracciones y qué se debe revelar. En los Estados Unidos, 47 leyes estatales rigen actualmente la divulgación de violaciones de datos que exponen información personal, pero el presidente Obama propuso recientemente que una sola ley federal debería regir el proceso.



Eso sería útil, dice el criptólogo Bruce Schneier, tecnólogo jefe de la compañía global de telecomunicaciones BT, aunque la utilidad depende de cuán rigurosa resulte la ley. Lo que está claro ahora es que las secuelas de las filtraciones de datos a veces son turbias. No sabemos quiénes tuvieron acceso a los datos, si son delincuentes, niños o espías, dice Schneier. No conocemos la vulnerabilidad que provocó la infracción. A veces, todo lo que sabemos con certeza es cuánto cuesta el daño.

esconder