Sólo el 28 por ciento de las organizaciones europeas tiene implantada alguna tecnología de prevención de pérdida de datos (DLP en sus siglas en inglés), revela un estudio europeo sobre seguridad de CA titulado “You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness", realizado en 14 países europeos, entre ellos España.

Según este estudio, los departamentos de TI se esfuerzan por responder a cuestiones relacionadas con el cumplimiento como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma de seguridad de la información ISO 27001.

Sorprende el hecho de que, a menudo, las empresas desconocen cómo puede ayudarles la tecnología y no son capaces de convencer a los responsables de las líneas de negocio de los riesgos que corren a fin de justificar la inversión necesaria en TI. Esto sucede a pesar de que muchas organizaciones esperan que la privacidad de datos sea el área de regulación que más les va a afectar en los próximos 5 años (con una gravedad del problema puntuada con 3,2 en una escala de 1 a 5).

Problemas con el cumplimiento

La falta de tiempo y de recursos, seguidos de la gran cantidad de procesos manuales (puntuadas con 2,8) hace que los responsables de TI tengan dificultades para resolver las cuestiones de cumplimiento. La mayoría de las organizaciones encuestadas también admite que carece de una “visión de cumplimiento” (puntuación: 2,7). Todos estos problemas podrían resolverse fácilmente si llevaran a cabo el seguimiento y control de sus datos de manera más efectiva. Sin embargo, esto parece no ser prioritario: el estudio revela que el ‘seguimiento del uso de los datos’, puntuado con un 2,5, no se considera un obstáculo para el cumplimiento de normativas.

El malware sigue siendo la principal preocupación para los gestores de la seguridad TI (puntuado con un 2,9 en una escala de 1 a 5) y, normalmente, se combate con soluciones de seguridad perimetral y control de contenido entrante. El resto de las principales amenazas citadas por los encuestados están relacionadas con el uso de los datos dentro de la organización: uso de Internet (2,7), gestión de datos sensibles o confidenciales (2,7) y la actividad de usuarios internos y externos (2,7). Las tres tienen en común que comparten datos entre los usuarios, a menudo a través de Internet, y éste es el escenario que está detrás de muchos de los incidentes bien conocidos en los que se han perdido datos confidenciales.

Una arquitectura orientada al cumplimiento podría ayudar a aliviar el problema de la pérdida de datos porque enlaza el uso de los datos con las personas a través de políticas de aplicación obligatoria. La arquitectura orientada al cumplimiento se define como “un conjunto de políticas y mejores prácticas que se hacen cumplir siempre que sea aplicable con tecnología, minimizan la posibilidad de pérdida de datos y proporcionan un registro de auditoría para poder investigar las circunstancias en caso de violación de la seguridad”.

Los tres elementos de una arquitectura orientada al cumplimiento

Para que una arquitectura orientada al cumplimiento sea efectiva debe constar de tres elementos. En primer lugar, soluciones de gestión de identidades y accesos que permitan comprender las funciones y responsabilidades de las personas, definir y hacer cumplir sus privilegios. Resulta interesante que sólo el 24 por ciento de las organizaciones europeas cuenta con un sistema de gestión de identidades y accesos completo.

En segundo lugar, es necesario poder localizar y clasificar los datos. En este sentido, sólo el 50 por ciento de los encuestados afirma disponer de un sistema para ello.

El tercer y último elemento para una buena arquitectura orientada al cumplimiento es una manera para hacer cumplir las políticas que enlacen las funciones o roles de las personas con el uso que hacen de los datos. Muchas herramientas de prevención de pérdida de datos automatizan el segundo y el tercero de los requisitos anteriores, aunque a diferentes grados, pero como hemos visto sólo el 28 por ciento de las organizaciones europeas utiliza este tipo de herramientas.