Las continuas pérdidas de ingentes cantidades dedatos confidenciales por parte de organizaciones, tanto públicas como privadas, ponen en evidencia la ineficacia o insuficiencia de las medidas de seguridadhabituales adoptadas para su protección. Y es que el control de las fugas de información es un grave problema de difícil solución, que está generando importantes daños económicos a quienes las sufren.
Dado que los ataques son cada vez más sofisticados y masivos, es necesario contar con las herramientas de protección adecuadas y con una actualización permanente de las defensas frente a éstos. Pero es que la implantación de medidas técnicas y organizativas para garantizar la seguridad de la información es, además de una necesidad paraempresas e instituciones, una obligación legal establecida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD.
La normativa española es una de las más rigurosas de toda Europa. El incumplimiento de las exigencias prescritas por la LOPD es objeto de un seguimiento activo por parte de la Agencia Española de Protección de Datos que puede imponer sanciones de hasta 600.000 euros en supuestos de infracción muy grave. Por tanto, las empresas españolas tienen más de un motivo importante para situar la prevención de pérdida de datos (DLP, por sus siglas en inglés) en la cúspide de su estrategia global de seguridad.
Las medidas de seguridad impuestas por la vigente normativa de protección de datos pueden llegar a ser considerablemente exigentes para los niveles más altos de protección. En definitiva, la adecuación a la LOPD, o lo que es lo mismo, cumplir con sus exigencias legales, demanda soluciones integrales de protección de la información si se quiere operar con las máximas garantías tanto para conservar íntegros los datos confidenciales corporativos como para gestionarlos de forma correcta y ajustada a la legalidad.
Actualmente, la mayoría de las empresas son conscientes de que deben implementar medidas de seguridad en el acceso y tratamiento de sus datos, si bien la realidad es que lo hacen con desigual eficiencia. En este campo, la Prevención de fuga de datos (DLP) es un componente clave, al que paradójicamente dedican nula o escasa atención las soluciones genéricas de seguridad, por lo que es recomendable implementar soluciones especializadas en DLP.
Una normativa exigente demanda soluciones integrales de protección de datos
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD), es la normativa de referencia en materia de seguridad en el tratamiento de datos personales.
Las medidas de seguridad que exige la normativa se clasifican en tres niveles: básico, medio y alto, fundamentalmente según la sensibilidad de los datos tratados, así como del tipo de actividad ejercida por responsable del fichero. A continuación se exponen algunas de las funcionalidades que se deben tener en cuenta para cumplir con las obligaciones legales al valorar las soluciones de prevención de pérdida de datos (DLP) a implantar.
Obligaciones respecto a medidas de seguridad de nivel básico.
Debe mantenerse un registro actualizado de las personas facultadas para conceder autorizaciones o delegar, así como documentos que detallen las funciones, obligaciones y perfiles de los usuarios con acceso a datos de carácter personal. En todo caso, cada usuario tendrá limitado su acceso a los recursos relevantes para sus funciones (artículos 84, 89 y 91 del RDLOPD).
Las soluciones DLP adecuadas garantizan el cumplimiento de los tres artículos mencionados ya que permiten diferenciar niveles de acceso a los datos y designar a las personas responsables de la gestión de seguridad. Estas personas tendrán las facultades para determinar las funciones de todos los usuarios del sistema, pudiendo crear distintos tipos de perfiles con derechos de acceso y tratamiento de datos específicos para cada uno de ellos.
Todos los accesos remotos a los sistemas de información deben cumplir las mismas medidas de seguridad que los accesos en modo local (art. 85 del RDLOP)
Esta obligación demanda una protección inteligente de datos, que controle tanto cualquier acceso externo a la red corporativa como el tráfico saliente y además lo analice con las tecnologías más avanzadas (análisis lingüístico y contextual, huellas dactilares, expresiones regulares, etc., bloqueando (en el caso de violación de las políticas de seguridad) el tráfico saliente.
Todo tratamiento de datos fuera de las instalaciones del responsable del fichero debe estar expresamente autorizado por él, quien responde igualmente de que se realice con las debidas garantías de seguridad (art. 86 del RDLOPD)
Este artículo resulta de aplicación especialmente a los equipos portátiles. Para evitar infracciones, pueden emplearse herramientas para cifrar información contenida en dispositivos portátiles y evitar el acceso no autorizado, por ejemplo, en el caso de robo de un laptop o extravío de una memoria extraíble. Además el uso de laptops fuera de la red corporativa puede controlarse con algún producto de protección de puntos finales. Las políticas de seguridad almacenadas en el ordenador permanecen vigentes hasta fuera del perímetro de la compañía controlando y registrando todas las operaciones del usuario con datos confidenciales.
1.4. Los ficheros temporales y copias de documentos deben cumplir las medidas de seguridad que corresponden a los ficheros de los que son extraídos (art. 87 del RDLOD).
En este punto sería adecuada, por ejemplo, una solución que active el análisis lingüístico que permite proteger, tanto los datos estáticos indexados en el sistema, como los confidenciales y los dinámicos que acaban de aparecer (ficheros temporales, documentos nuevos etc.).
1.5. Debe establecerse un procedimiento de gestión, notificación y registro de las incidencias de seguridad detectadas (art. 90 del RDLOPD).
Las soluciones de DLP acostumbran a ofrecer múltiples herramientas de monitorización y análisis retrospectivo de la actividad de todos los usuarios. Las incidencias de seguridad se registran por el sistema y pueden ser accedidas e investigadas exclusivamente por los responsables de seguridad autorizados. La base de incidencias proporciona la información necesaria para el análisis forense.
1.6. Obligación de adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios con acceso autorizado a los sistemas de información de un modo que garantice su confidencialidad e integridad (art. 93 del RDLOPD).
Cada usuario con acceso autorizado a los sistemas de información protegidos debe contar con su contraseña personal, que garantiza su identificación inequívoca. Por razones de confidencialidad las contraseñas no deberían almacenarse en el sistema, sino hacer que el usuario sea la única persona que conoce su contraseña. El programa de DLP debería garantizar medidas y procedimientos seguros para su recuperación en caso de que el usuario la olvide.
Medidas de seguridad de nivel medio
2.1. Existe la obligación de realizar una auditoría de seguridad, interna o externa cada dos años, que verifique el estado de situación respecto al cumplimiento de las obligaciones establecidas en el RDLOPD y proponga medidas correctoras cuando sea necesario (artículo 96 del RDLOPD).
Trabajando con soluciones de DLP que registren todas las acciones de usuarios y los sucesos relacionados con la seguridad, se podrá agilizar la auditoría elaborando informes con datos, hechos y observaciones en los que podrán basarse los dictámenes alcanzados y las recomendaciones propuestas.
2.2. Obligación de llevar un registro de entrada y salida de soportes con datos personales, incluidos los archivos adjuntos a correos electrónicos (artículo 97 del RDLOPD).
Resultan adecuados los sistemas de protección de datos que permiten controlar todos los canales de transmisión de datos confidenciales: correo electrónico (incluso archivos adjuntos), Internet, dispositivos externos (CD/DVD, varios dispositivos USB, Flashcards, ordenadores portátiles, etc.), registrar operaciones con datos confidenciales y prevenir aquellas que no cumplan con los requerimientos de las políticas de seguridad aprobadas
3. Nivel alto de seguridad.
La distribución de los soportes que contengan datos de carácter personal, se debe realizar cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte y, en todo caso, estarán bajo el control del responsable del fichero.
Para cumplir con esta obligación, el producto de cifrado desarrollado por algunas empresas especializadas en DLP garantiza la protección centralizada de objetos de almacenamiento de datos: archivos, carpetas, discos físicos, incluyendo discos de sistema y discos de arranque, dispositivos extraíbles, usando un fuerte algoritmo de cifrado AES.
Se exige el registro y conservación durante dos años, de cada acceso y manipulación de los datos confidenciales, además de la obligación para el responsable de seguridad de revisar mensualmente estos registros y de elaborar un informe detallando problemas detectados y propuestas de solución (artículo 103 del RDLOPD)
Es probable que la obligación de registro de accesos establecida en este artículo sea una de las más difíciles de llevar a la práctica. No obstante, ciertas soluciones ofrecen herramientas de cifrado que permiten guardar el tipo de información que exige el RDLOPD. Esto es, información sobre accesos a los datos cifrados con identificación del usuario, la fecha y hora en que se realizó el acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado
Medidas de seguridad para los ficheros en soporte papel.
Si bien en la actualidad la gran mayoría de datos en cualquier empresa o institución se producen y gestionan en formato digital, la normativa impone también exigencias de seguridad para los ficheros en soporte papel (Capítulo III del Título VIII del RDLOP). Merece especial atención el hecho de que la generación de copias o la reproducción de los documentos únicamente puede ser realizada bajo el control del personal autorizado.
En el mercado existen soluciones de seguridad que verifican si la impresión de documentos, tanto local como de red, corresponde a las políticas de seguridad haciendo las copias de sombra que se analizan por el servidor central.
¿Cómo conseguir que nuestros datos se traten legalmente y estén a salvo?
Una política acertada de cumplimiento de la ley debería incluir un enfoque apropiado de la protección de datos. Al fin y al cabo, la normativa española pretende impulsar la aplicación de los niveles de seguridad necesarios para impedir el mal uso y la pérdida de los datos, así como para garantizar el respeto de los derechos individuales cuando se trata de datos personales. Pese a sus aspectos sancionadores, el hecho es que ajustarse a la normativa implica una auditoría de la gestión de datos que se está llevando a cabo que beneficia a la empresa o institución.
En este sentido, si al escoger una solución de DLP de un proveedor especializado se tienen en cuenta las funcionalidades necesarias para cumplir con la LOPD y el RDLOPD, descritas en este artículo, nuestros datos estarán igualmente protegidos contra el espionaje industrial y las fugas de información de todo tipo.
Como con cualquier estrategia, planificar es la clave y la prevención contra la pérdida de datos es una tarea dinámica y que precisa revisión constante. Afortunadamente, hoy en día unos pocos fabricantes ya producen programas y servicios diseñados especialmente para dar cumplimiento a las cambiantes exigencias legales y necesidades corporativas. Protegiéndose a sí mismas ahora, las organizaciones inteligentes evitarán problemas potenciales en el futuro.
FUENTE: www.idg.es