Prevención de fuga de datos en entidades financieras

Si se le pregunta  a un profesional de seguridad TI del sector financiero si sus datos electrónicos están seguros, la respuesta será inequívoca: los datos de los bancos de inversión están a salvo, los datos de las aseguradoras no pueden perderse, en el departamento de tesorería se aplican rigurosos procesos y políticas para evitar que haya fuga de datos hacia el exterior, sea accidental o intencionadamente…

Sin embargo, los hechos nos dicen lo contrario. Por ejemplo, en Estados Unidos la compañía Heartland Payment Systems tendrá que pagar más de 60 millones de dólares por pérdidas incurridas debidas a la exposición de los datos de los titulares de 130 millones tarjetas de crédito.  Este grave incidente provocado por un pirata informático podría llegar a costar hasta 229 millones de dólares.

En Reino Unido, un importante banco que extravió los discos con información sensible deberá hacer frente a una multa de 3,3 millones de euros. Por tanto, la incapacidad de proteger los datos, además de ser muy costosa, conlleva sanciones muy elevadas. Asimismo, hay que sumar los daños a la reputación y la pérdida de competitividad.

En el punto de mira

Un informe encargado por CA Technologies sobre la protección de datos sensibles en las organizaciones europeas pone de manifiesto algunas prácticas alarmantes en la prevención de datos, particularmente en el sector financiero.

Según los resultados de este estudio, sólo tres de cada diez organizaciones de servicios financieros han implantado tecnología de prevención de fuga de datos para ayudar a identificar los datos sensibles y protegerlos ante pérdidas o un mal uso de los mismos.  Y aunque es cierto que la tasa de adopción de esta tecnología es más alta en empresas de servicios financieros que en las de industria o sector público, aún están por detrás de las compañías de telecomunicaciones o medios de comunicación.

¿Y qué sucede cuando un empleado deja la empresa? ¿Se preocupan las organizaciones financieras de si se han eliminado los derechos de acceso correspondientes o de que el ex trabajador pueda llevarse datos confidenciales? Según este mismo estudio, es en este punto donde las organizaciones financieras muestran un alto grado de preocupación.

Control de los datos granular

¿Cómo pueden las empresas de servicios financieros permitir el intercambio seguro de información al mismo tiempo que garantizan la continuidad de los procesos de negocio y el buen gobierno de los datos? Hasta hace poco, los esfuerzos que se hacían en seguridad no tenían en cuenta las identidades de los usuarios que procesaban la información. Sin conocer la identidad del emisor de un mensaje electrónico, por ejemplo, las organizaciones se han visto forzadas a implementar medidas de protección de la información iguales para todo el mundo. Sin embargo, los empleados tienen diferentes tipos de roles y derechos, y las políticas generalistas frustran a los usuarios y reducen su productividad.

La protección de la información requiere un control más contextual y adaptable. Cada empleado puede necesitar un tipo de intervención y tácticas de control diferentes para que el sistema de prevención de fuga de datos le permita realizar la tarea de negocio. En algunos casos, la propiedad intelectual no debería compartirse más allá del departamento legal. En otros casos, quizá es adecuado avisar a los individuos sobre el riesgo de compartir información sin impedir que lo hagan. En otras ocasiones, los ficheros deberían cifrarse y educar al emisor sobre la importancia de cifrar los datos.

Por eso es tan importante que los proveedores de tecnología de prevención de fuga de datos ofrezcan las herramientas necesarias para crear los modelos de los roles y accesos de los usuarios de cada organización. Un sistema de prevención de fuga de datos debería ser lo suficientemente sofisticado para manejar una amplia variedad de identidades, desde clientes a proveedores, consultores internos o directivos. Cuando el sistema detecte la necesidad de intervenir, debe poder ajustar la forma de trabajar en función de los roles de los individuos que participan en la conversación. Para conseguir esto, el sistema de prevención de fuga de datos tiene que disponer de una amplia gama de técnicas de intervención, como algunas de las mencionadas anteriormente.

Las soluciones de prevención de fuga de datos centradas en las identidades tienen el contexto adecuado para establecer con precisión las diferencias entre conversaciones en las que participa el director de un banco, por ejemplo, y las que mantiene un empleado airado que acaba de ser despedido. De esta manera, los sistemas centrados en las identidades pueden resolver muchos más casos que los sistemas convencionales porque permiten al departamento TI ser más ligero y más efectivo.

Los responsables de seguridad españoles han estado en modo ‘espera’ evaluando la madurez de la tecnología de prevención de fuga de datos en el mercado, pero ya no existe excusa para no abordar seriamente un proyecto de este tipo puesto que la tecnología ha demostrado estar suficientemente madura.

Pin It on Pinterest

Share This