Queridos Lectores,
Nos hacemos eco de esta noticia publicada en el Diario El Economista.com, sobre los fallos de seguridad que se han dado a lo largo del año en empresas de gran nombre.
Hay que tener especial cuidado con los datos de carácter personal que guardamos y sobretodo implantar unas buenas medidas de seguridad para evitar en la medida de lo posible, estos fallos de seguridad.
Os dejamos la noticia:
Desde mediados de 2011, una serie de importantes fallos de seguridad en la protección de datos menoscabaron la reputación de diversas marcas de prestigio. Sony, Epsilon, Steam e incluso Nasdaq se vieron atrapadas en un debate en torno a la seriedad con la que las organizaciones abordaban la seguridad de la información.
Se habló mucho sobre cómo estos fallos podrían servir de catalizador de un cambio en la protección de datos. Sin embargo, un año después parece que las organizaciones siguen teniendo dificultades para garantizar que sus estrategias de seguridad informática mantengan unos estándares suficientemente altos. Los últimos ataques de hackers que han sufrido compañías como LinkedIn, Last.fm o eHarmony ponen de manifiesto la creciente importancia de repasar los acontecimientos y de que las organizaciones revalúen lo aprendido de los casos de fallos de seguridad en la protección de datos.
Puesto que las empresas dependen en gran medida de la confianza de los usuarios, la seguridad de los datos debería estar entre sus principales prioridades. Sin embargo, los recientes incidentes en materia de seguridad nos llevan a preguntarnos lo siguiente: ¿están las empresas tomando realmente las medidas necesarias? Aunque es cierto que ninguna está a salvo de los ataques de los hackers y que los fallos en la protección de datos son prácticamente inevitables, resulta importante que las organizaciones sean conscientes de la necesidad de aplicar medidas de seguridad efectivas para garantizar la privacidad de los usuarios y una protección adecuada de sus datos. Las consecuencias de un fallo de seguridad son nefastas para una marca y no pueden pasarse por alto.
Así todo, parece que las organizaciones no están haciendo esfuerzos adicionales para garantizar que sus estrategias de protección de datos sean lo suficientemente efectivas frente a las amenazas contra su seguridad.
Dado que la informática en la nube y la movilidad de los trabajadores están obligando a las empresas a protegerse de ataques informáticos en diversos frentes, cada vez resulta más difícil aplicar estrategias uniformes en todos los puntos de acceso. Recientemente, llevamos a cabo una encuesta sobre las estrategias de seguridad de las empresas y descubrimos que la mayoría de los directores tecnológicos sólo utilizaba la encriptación para los puertos de comunicación del sistema y no para los datos y la información que realmente se encuentran dentro del perímetro. Estos resultados sugieren que los directores no están adoptando una tecnología integral de encriptación para la protección de sus datos y sistemas. Este hecho resulta sorprendente, especialmente a la luz de los recientes fallos de seguridad que reflejan el bajo nivel de aplicación de los estándares básicos de encriptación en las grandes organizaciones.
De hecho, un informe reciente del equipo de riesgos de Verizon revelaba que el 97% de los fallos de seguridad que han tenido lugar en los últimos años se podían haber evitado y en la mayoría de los casos, ni siquiera se trató de ataques sofisticados. Lo que es más alarmante aún es que el 68% de estos incidentes consistió en ataques a los servidores centrales de datos que proporcionan acceso a la información más delicada en las organizaciones.
La necesidad de encriptar
Entonces, ¿por qué a las empresas les sigue costando tanto implantar unos estándares básicos de seguridad? A menudo es simplemente la falsa creencia de que sólo es necesaria la encriptación en la información de carácter sensible, como los datos financieros. Lo que se ha pasado por alto en los últimos años es el papel cada vez más importante de la información secundaria, como los datos personales y la información de tipo social, que se encuentran entre los objetivos más comunes de los cibercriminales. Según va aumentando el volumen de datos que se comparten, las organizaciones deben darse cuenta de la necesidad de encriptar todo tipo de datos y no sólo los financieros.
La falta de concienciación sobre los riesgos de seguridad es otro asunto que deben abordar las organizaciones que quieran mejorar sus estrategias de seguridad. La encriptación únicamente de los puertos del perímetro ya no es efectiva para conseguir una seguridad fiable. Lo que hace falta es un enfoque más sólido que implique una encriptación integral en todos los puntos de acceso, así como asegurar y proteger los propios datos. Las empresas no tienen excusa alguna para no realizar una encriptación integral, ya que existen soluciones criptográficas que han demostrado ser fiables.
Gracias a la encriptación de todos los datos en el momento en que se crean y durante todo su ciclo de vida, las empresas podrán garantizar la privacidad de los usuarios y proteger datos valiosos, independientemente de dónde se alojen, ya sea en un servidor físico o en la nube.
Otro paso importante para garantizar una sólida protección de datos es la gestión de las claves de seguridad. El almacenamiento de claves de cifrado en un soporte de hardware, fuera del entorno virtual, permitirá a las organizaciones garantizar que la información de carácter sensible no podrá ser manipulada incluso aunque caiga en manos de cibercriminales. Lo mejor de este enfoque es que proporciona seguridad adicional, que puede ser extensible a todos los datos y aplicaciones disponibles de forma física o en la nube. Ello, junto con un sólido sistema de autenticación de dos factores, permitirá a las organizaciones ir por delante de los cibercriminales en la carrera por la seguridad.
Miguel Braojos, Vicepresidente regional de ventas para el sur de Europa, Oriente Medio y África de SafeNet.