Las violaciones, ya las causen fallos accidentales o deliberados de usuarios autorizados, siguen desbordando vacíos persistentes. La actividad profesional de los usuarios que ya están dentro de la organización exige que vean y manejen información confidencial. Sin embargo, el acceso legítimo a la información no les brinda a los usuarios el derecho a sacarla de la empresa.No importa si la pérdida de datos ocurre por accidente o debido a una actividad malintencionada. El efecto sobre la organización puede ser muy grave: pérdida de secretos comerciales, pérdida de la confianza de los clientes y multas previstas en las leyes. Para acabar con los daños a los balances, a las marcas y a la ventaja competitiva, las organizaciones deben adoptar una mejor manera que les permita proteger los datos de los clientes y su propiedad intelectual.

¿Por qué son insuficientes las actuales protecciones? Porque no protegen contra la pérdida de datos. Impulsados por las normas del mercado y por políticas internas de las empresas, la mayoría de los programas de seguridad todavía se concentran en limitar el acceso no autorizado. Alejan los ataques externos con medidas tradicionales de seguridad de datos, incluyendo firewalls, prevención de intrusiones y anti-spyware. Dependen mucho de controles de identidad de acceso y en algunos casos, del cifrado de datos, para limitar la exposición de la información confidencial, pero dichos enfoques dejan vacíos de protección que permiten amenazas internas como la pérdida involuntaria o deliberada a través de usuarios autorizados.

Una nueva solución de prevención de pérdida de datos de McAfee® llena ese vacío. Combina protecciones de sistemas y red durante todo el ciclo de vida de uso de los datos, desde la creación y la manipulación hasta la transferencia y la transmisión. Las organizaciones ahora cuentan con una prevención uniforme y confiable contra la pérdida de datos en todas las aplicaciones, los canales de red, además de los dispositivos físicos. La solución McAfee Data Loss Prevention (DLP) permite que las organizaciones fiscalicen las políticas y monitoreen y denuncien el uso inadecuado — aun cuando las portátiles estén físicamente desconectadas de la red. Eso ayuda a informar a los usuarios acerca de las políticas correctas, además de evitar pérdidas. También aumenta la visibilidad de la manipulación real de los datos, ayudando a los responsables de la seguridad a concentrar adecuadamente las inversiones en protecciones, entrenamiento y en la mejoría de procesos.

Debido a que McAfee brinda dicha protección, complementa y refuerza otras defensas de la red y del host. La solución McAfee DLP llena el vacío de la protección contra usuarios autorizados, constituyendo un elemento obligatorio, de fácil administración, de cualquier programa de administración de riesgos de seguridad.

El problema de la pérdida de datos por factores Internos

En un mes normal, los incidentes de pérdida de datos llegan a los titulares más a menudo que las violaciones de la Ley Sarbanes-Oxley (SOX). Aunque los hackers reciban una atención justificable, un gran número de pérdidas se debe a los usuarios autorizados dentro de las organizaciones. La Encuesta de Crímenes y Seguridad de Informática CSI/FBI 2006, indicó que un 68 por ciento de las empresas encuestadas ya sufrió pérdidas tangibles atribuidas a personas dentro de la empresa. Dichas pérdidas empañan reputaciones y marcas, perjudican la ventaja competitiva y exigen correcciones de alto costo. Veamos el 4º trimestre de 2006. Según Privacy Rights Clearinghouse y otras fuentes públicas, las pérdidas de datos causadas por personas dentro de la empresa afectaron a todos los sectores de actividad, desde servicios de salud hasta instituciones financieras públicas:
• Hertz Global Holdings afirmó que eliminó Deutsche Bank de su equipo de financiaciones tras el envío inadvertido de “varios e-mails” por el banco a aproximadamente 175 clientes institucionales, hablando sobre la inminente oferta pública inicial de US$1.500 millones

• Se formularon cargos de espionaje industrial contra un ingeniero sinocanadiense por el hurto de software de entrenamiento militar

• El Comité Republicano Nacional envió inadvertidamente por e-mail una lista de nombres de donantes y números de Seguridad Social (SSN) a un periodista del New York Sun

• El flash drive USB de un empleado de la Universidad Estatal de California en Los Ángeles, estaba dentro de una bolsa hurtada del portaequipajes de un automóvil. Contenía información personal de más de 2.500 estudiantes y candidatos al programa de credenciales de profesores.

• Un empleado del Centro Médico Luterano Gundersen en Lacrosse, Wisconsin, fue acusado de usar información personal de pacientes para solicitar tarjetas de crédito.

• Bank of America anunció que un ex contratista había hurtado Información Identificable Personal (PII) de un número no divulgado de clientes (en Charleston, Carolina del Sur)

• El departamento de policía de Bowling Green, Kentucky, publicó accidentalmente en su sitio Web un informe que contenía números de licencias de conducir y SSN

• Una impresión de 21.000 registros académicos desapareció del Nassau Community College en Garden City, Nueva Cork

• Los nombres y SSN de “varios cientos” de proveedores de servicios médicos fueron publicados por error en Internet Segal Group, contratista del gobierno del Estado de Vermont
¿Qué tienen en común esas pérdidas? Usuarios autorizados. La actividad profesional de los usuarios que ya están dentro de la organización exige que vean y manejen información confidencial. A través del uso indebido mal informado, de errores de juicio o de malas intenciones, su acceso legítimo a la información llevó a pérdidas que causaron problemas financieros y jurídicos, además de problemas de relaciones públicas.

¿Son novedades dichas pérdidas? En algunos casos, sí, pues un número mayor de empresas públicas y privadas está en Internet para apoyar operaciones distribuidas al momento. En otros casos, dichas pérdidas simplemente están visibles ahora. Hoy día, leyes de privacidad como la Ley 1386 del Senado de California, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley Gramm-Leach- Bliley (GLBA), y la Directiva de Privacidad de Datos de la Unión Europea exigen la comunicación pública de la violación de las PII - Personal Identifiable Information.

http://www.mcafeenewsletter.com.br/news/0703/articulo1.html