Control de información empresarial

En nota exclusiva para Canal AR, el Ing. Horacio Biscoglio, advierte sobre los riesgos de la ausencia de controles que suceden en muchas corporaciones, respecto a su propia información.

¿En qué debería pensar una empresa cuando se habla de ‘controlar información’?
Yo diría que en la gestión de su capital más valioso. La información comercial, técnica o administrativa es resultado de toda la historia corporativa e incluye, por ejemplo, los presupuestos de venta, la gestión de cobranzas, la situación de la empresa ante entes recaudadores y, lo que es peor, el know how, el modo de producir, es decir, lo que hace que esa empresa se diferencie de las demás y haya llegado hasta su situación actual.

¿Los ataques son principalmente externos o internos?
Sobre todo internos y ocurren en forma diversa. Por ejemplo, al enviar información por internet o a través de correos electrónicos, se pueden estar compartiendo datos confidenciales. Esto es fácilmente controlable y, de hecho, creo que la mayoría de las acciones dolosas no se realizan por estos medios, sino de forma más tradicional, por ejemplo, copiando información en un USB. Esto ocurre porque ya estamos alertados de que existe seguridad sobre la información que enviamos, pero es menos probable que se controle los dispositivos anexos a nuestros equipos.

¿Entonces propone controlar dispositivos?
Mi sugerencia es que se gestione la infraestructura completa, porque a nivel de software, precio y esfuerzo no hay mucha diferencia. Sin embargo, como normalmente se habla únicamente del control de envío de información, me gusta hacer hincapié en esta segunda modalidad. Hoy en día, en forma muy simple, podemos establecer un control centralizado para monitorear o bloquear el uso que se hace de cada dispositivo removible que tiene la organización. Esto permite controlar con exactitud el flujo de información. Quién, qué, cómo y cuando pretende extraer datos.

¿Cómo se procede cuando se detecta una fuga o robo de información?
Existen tantas posibilidades como situaciones. Hay que ser muy flexible en eso. Por ejemplo, en una muy importante compañía local, notaron que cada vez que concebían un un producto, la competencia lanzaba al mercado productos muy similares y al mismo tiempo. Era obvio que existía una fuga crítica de información, pero se preguntaban, ¿cómo detectar al responsable, entre miles de empleados? Lo que hicimos en este caso, fue establecer controles generales y dejar una única posibilidad de salida de información a la que monitoreamos en forma silenciosa y sin dar aviso al personal interno. Para el usuario final nada había cambiado, porque podía seguir haciendo lo mismo que antes. y fue asi que al poco tiempo pudimos individualizar al responsable y la empresa jamás volvió a tener este problema.

¿Y si la información saliera a través de una impresora, es decir, sin copiarla a un dispositivo extraíble?
Se controla en forma idéntica. El monitoreo afecta tanto a una impresora como a DVDs, disketes (dónde todavía existen), rígidos externos, memorias flash, usb, móviles. En todos los casos uno puede dejar abierta estas puertas y monitorearlas o cerrarlas e impedir que, por ejemplo, se instalen programas o se baje información. Así también aparecen usos adicionales que afectan a la rentabilidad. Referido a tu pregunta, al controlar las impresoras, se corta con las impresiones innecesarias y, en muchos casos, con fines particulares que, además de afectar al medio ambiente, consumen recursos de la organización con fines inapropiados.

Existe entonces la posibilidad de diseñar una política de control.
Claro. Lo que difiere mucho de simplemente prohibir. Se pueden personalizar combinar ciones de controles sobre algunos tipos de archivos, contenidos, dispositivos o dirección de la información. Lo explico con otro caso: un estudio de arquitectura nos solicitó bloquear toda salida de contenidos vinculados a planos y archivos gráficos en general, pero no por eso deseaban impedir a sus empleados el ingreso de música y de otra información a sus computadoras.
Como se evidencia, el concepto es aplicable a cualquier tipo de empresas, desde profesionales que tienen únicamente su ordenador y quieren que nadie lo utilice, hasta grandes organizaciones que monitorean su complejísimo entramado de comunicación interna y externa.

Ver nota en Canal AR

Ver la solución de Consultores en IT para este problema

0 Comentarios

Deja un comentario