El portavoz de Acenture manifestó que sólo hay que tener unos parámetros de seguridad y hay que trasladarlo al usuario o al empleado, en unos tiempos en los que ya se habla del Risk Management como algo global, no específico de seguridad informática. Les decimos a las compañías que vamos ayudarles, no sólo a cumplir con Basilea o SOX. “Hay un gap entre el que se dedica a hacer negocios robando datos y hay que acortarles el ciclo”, aclara.

Desde Symantec, el ámbito interno se trata desde el punto de vista del contenido y esto supone un cambio importante, en palabras de Gerardo Gómez. “Con independencia del formato, vemos cómo puede servir para clasificar la información. El 47 por ciento de los empleados de una empresa utiliza portátiles para cuestiones personales, que han derivado en fugas de información y la concienciación es la clave aquí”.

5. El papel de la dirección

Desde el punto de vista externo, dado su ámbito global y que debe ser preventivo, no cabe más remedio que utilizar elementos de inteligencia global. “La de Symantec es clave y somos capaces de ofrecer un SOC (Centro de Operaciones de Seguridad) para que el cliente pueda evitar ataques esté donde esté. Podemos ayudarles a través de un partner o conectando ese SOC con nuestra red de seguridad o contratar servicios gestionados. La tecnología está madura claramente y somos líderes en este ámbito”, añade Gómez.

Pablo Martínez, especialista de producto de Symantec, ha incidido en un resultado, fruto de un reciente estudio paneuropeo en el que han participado 150 empresas españolas: El 67 por ciento piensa que el riesgo de perder información en su compañía es alto y más del 50 por ciento ha conocido algún caso, por lo que “necesitamos una concienciación global y esto es lo que retrasa la implementación”, subraya Martínez. “La forma tradicional de trabajar impide localizar la información en un punto interno. Security 2.0 quiere decir que la seguridad tiene que seguir al usuario y a la información que lleva, no al revés”.

En opinión de Miguel Cebrián, portavoz de FCC, el negocio necesita de la confianza del cliente, aunque busque generar caja. “Antes un banco iba al cliente y entregaba el dinero a través de la ventanilla, pero para este negocio Internet ha supuesto muchos cambios… Si no concienciamos del peligro a la alta dirección, el mando intermedio seguirá con su conducta”.

Pedro Pablo Pérez, de Telefónica da por hecho que la concienciación es el paso previo antes de abordar cualquier estrategia, pero desconfía de que exista una empresa concienciada en su totalidad. En este sentido, afirma que las soluciones DLP con unos patrones básicos pueden clasificar la información fácilmente. “El 60 por ciento de las plantillas está subcontratada en banca o telco y la concienciación no va a llegar al call center de Perú, donde un usuario con acceso legítimo que puede ver datos. En Telefónica no sé quién está concienciado como en Defensa, por lo que hay que ser consciente de ese hándicap. El negocio es el driver más importante de la empresa y no hay que perjudicarlo”, aduce este consultor.

La persona que posiblemente atesora una mayor experiencia de la mesa en instituciones donde la sensibilidad de la información es muy alta, Julio Lage, incide en la necesidad de crear hábitos en toda la empresa para que no se cometan errores en el uso de seguridad. “Deben ser de obligado cumplimiento porque un fallo de seguridad en un banco es un fallo comercial y se pierde la confianza del cliente en los nuevos canales, como el electrónico”.

El consultor sitúa protección y prevención como fases posteriores a la ya citada concienciación. “Cualquier tercero que trabaja para el banco debe estar sometido a sus normas de seguridad y punto. Cualquier filtración de información la paga el de arriba (dirección) es el que paga y si no tiene conciencia de que la no seguridad cuesta dinero, no lo hace”.