Table of Contents Table of Contents
Previous Page  107 / 116 Next Page
Information
Show Menu
Previous Page 107 / 116 Next Page
Page Background

Segundo cuatrimestre 2016

107

artículo técnico

Privacidad y Compliance

Identificar quiénes pueden requerir y

autorizar monitorización.

Monitorizar de la manera menos intru-

siva posible.

Identificar el propósito de la monito-

rización:

Monitorizar la productividad por razo-

nes del negocio.

Proteger contra el uso no autorizado

o la transferencia de datos donde esté

involucrada la información de emplea-

dos y clientes.

Monitorizar el uso adecuado de los

elementos provistos, los accesos otor-

gados y el uso del correo electrónico.

Velar por un comportamiento que no

suponga un trato discriminatorio u

ofensivo.

Prevenir el espionaje o la divulgación

de información crítica.

Responder a requerimientos de des-

cubrimiento en litigios referidos a evi-

dencia electrónica.

Comprensión de la legislación invo-

lucrada:

Las directivas de privacidad de los da-

tos pueden variar.

Regulaciones para la intercepción de

comunicaciones.

Conclusión

Cuando se define e implementa un pro-

yecto de DLP, podemos encontrarnos con

dos tipos de interesados: los que se ad-

hieren a las políticas de Gobierno, Riesgo

y Cumplimiento y los técnicos con inicia-

tivas de soluciones

ad hoc

para impedir

la fuga de información. Ambos compiten

por la bandera de la seguridad y necesi-

tan alcanzar sus objetivos. Entonces, ¿de

qué sirve frenar el flujo de datos si los es-

tándares no están definidos?

La DLP brinda una respuesta muy rá-

pida y eficaz, ya que identifica y blo-

quea. Pero las estrategias de protección

son de mayor esfuerzo y aliento y con-

llevan un proceso de madurez. Es im-

portante realizar las tareas previas de

preparación para una exitosa imple-

mentación de una solución de DLP, ya

que son fundamentales para mitigar los

riesgos que se pretende solucionar.

mienta de DLP para su protección. Han

de reflejar las políticas y procedimien-

tos vigentes. Por lo tanto, también es re-

comendable un programa de entrena-

miento orientado a los empleados.

La DLP puede programarse para inte-

rrumpir un flujo de negocio ante la ac-

tivación de una alarma. En este sentido,

las políticas deben probarse satisfacto-

riamente antes de su puesta en marcha,

con distintos escenarios posibles, para

reducir el impacto en las operaciones

normales. Y al ser una herramienta de

monitorización continua, sus distintos

componentes han de ser probados en

condiciones de estrés para que garanti-

cen su funcionamiento y no pasar a ser

un agente de reducción de desempeño

en ambientes productivos.

Por último, la DLP es una herramienta

poderosa que posibilita visualizar infor-

mación de todo tipo, por lo que suele

ser catalogada de intrusiva. Debemos

considerar que las funciones de mo-

nitorización –en concreto, las del pro-

yecto de DLP– han de estar claramente

definidas y seguir los rasgos corporati-

vos, informar a los empleados del uso

de la herramienta y su alcance y en-

tender que esta iniciativa es de apoyo

a las áreas de cumplimiento y perfec-

tamente auditable. Por lo explicado, es

importante considerar las buenas prác-

ticas de monitorización.

Comprensión de los principios gene-

rales de monitorización:

Los empleados no pierden su derecho

a la privacidad.

Monitorización proporcional al riesgo

de responsabilidad.

Empleados informados y conciencia-

dos del control.

Implementación y riesgos

Un enfoque correcto de un programa

de DLP requiere actividades preparato-

rias como un alineamiento con el ne-

gocio, desarrollo de políticas, análisis de

procesos con sus correspondientes pro-

pietarios e inventarios detallados. Como

factor clave, debe considerarse con-

tar con una clasificación de activos y

un análisis de riesgos de la información

que utilice la organización.

En el momento de tener definido un

proyecto e iniciar su implementación,

es importante valorar ciertos factores de

riesgo y seguridad que pueden ocasio-

nar un impacto directo a las operacio-

nes del negocio y contar con medidas

adecuadas para minimizar su efecto. La

DLP es uno de los controles más críticos.

Por lo tanto, debe articularse y ser parte

del mecanismo de estrategia integral de

protección de la información.

Involucrar al negocio como parte

de la solución es el primer paso. Pero

no debe ser el definitivo, ya que exis-

ten otros actores necesarios que han

de participar. Cuando se empiecen a

definir las políticas que debemos acti-

var, veremos que pueden surgir diver-

sas fuentes como políticas corporativas,

análisis y evaluaciones de riesgos, even-

tos de seguridad, regulaciones, leyes y

tendencias. Existen muchas voces que

han de escucharse, como las de los re-

presentantes de las distintas áreas clave.

Identificar los datos sensibles y su tra-

tamiento dentro de la organización es

parte primordial del proceso de cla-

sificación ya mencionado. Y es la ma-

nera que nos permitirá traducir a polí-

ticas adecuadas cómo deben trabajar

las distintas tecnologías de una herra-

La prevención de fuga de datos es una prioridad

al alza para muchas empresas, como lo vienen

demostrando las distintas encuestas sobre

seguridad de la información año tras año

1 102 103 104 105 106 107 108 109 110 111 112 113 116  FlippingBook