Primera parte

México apoya la cultura de protección de datos personales

Con el arranque de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), en este julio de 2011, la industria de seguridad está viendo crecer las inversiones de sus clientes.

Datos de IBM prevén que en 2012, las inversiones en materia de seguridad incrementarán 40% entre compañías; en SafeNet, estiman que el mercado de soluciones de cifrado les dejará crecimientos de entre 25 y 30%, mientras que en McAfee estiman un crecimiento de ventas de entre 10 o 15%. Sin embargo, el que las compañías sumen soluciones tecnológicas no será suficiente para proteger los datos de sus clientes, a menos que conozcan a profundidad los requerimientos de la Ley y los huecos de sus propias organizaciones.

En este sentido, Roque Juárez, consultor en seguridad de IBM, sugiere a las empresas empezar por leer la Ley, y pensar en los requerimientos que ésta plantea. Cabe explicar que el Reglamento de la LFPDPPP publicado el 21 de diciembre en el Diario Oficial de la Federación que consta de 144 Artículos que exponen la necesidad de contar con infraestructura tecnológica pero también con una mejora en los procesos, lo que sugiere una doble evaluación por parte de las empresas que están planeando invertir en seguridad.

Para quienes se mantienen renuentes a gastar este año para el cumplimiento de la Ley, ya sea porque consideran que tienen la suficiente protección o porque la consideren un gasto extra, Juárez sugirió recapacitar y tomar en cuenta que los montos de las sanciones equivalen hasta a 70 millones de pesos o la privación de la libertad por hasta cinco años.

Si las empresas no pretenden invertir en soluciones de seguridad, deberían entonces crear un “colchón” financiero para solventar estas multas sin que se desajuste su negocio; o bien, hacer inversiones proporcionales al mayor de los riesgos que puedan correr.

Desde Symantec, tienen una visión particular de la LFPDPPP en donde si bien hay responsabilidad desde la parte tecnológica, se busca sobre todo el preservar los derechos humanos de los ciudadanos. Desde el punto de vista de Alejandro Loza (derecha), gerente de Ingeniería de Preventa de Symantec México, esta Ley llevará a México a ser un país más competitivo, le abrirá oportunidades en mercados internacionales, como en el negocio de outsourcing por ejemplo o propiciará prácticas como el comercio electrónico, en donde tenía desventaja ante países de Latinoamérica como Brasil y Argentina, y promoverá negocios para los canales de distribución.

Un mundo de soluciones

Para el cumplimiento a este Reglamento las empresas tecnológicas de seguridad tienen una amplia gama de soluciones que ofrecer al mercado; la mayor parte de ellas conocidas y con tiempo en sus portafolios, pero no por ello instauradas en las empresas.

“Hay en el mercado, un cúmulo de soluciones que ayudan a las empresas a reforzar la seguridad de sus datos; dependiendo de la asesoría que le den sus canales y los datos que manejen será la tecnología que deberán implementar”, opinó Loza.

Entendiendo este punto, Juárez de IBM sugirió a los integradores el seguir un modelo que les permitirá identificar los huecos y las amenazas en los procesos de cada cliente para que se tenga un óptimo cumplimiento de la Ley de Protección de Datos. Dicho esquema se compone de cinco sencillos pasos aplicables a todo tipo y tamaño de empresa.

1. Robustecer la seguridad en centros de datos mediante el monitoreo de esa infraestructura,

2. Unificar redes, servidores y endpoints de las empresas bajo un mismo esquema de monitoreo,

3. Establecer políticas de acceso y uso

4. Resguardar la información, asegurar el almacenamiento y crear esquemas eficientes de respaldo.

5. Monitorear quién accede a la información, desde dónde y por qué motivos.

Y para ello, pone a disposición de los canales herramientas como Tivoli, que permiten el monitoreo incluso de ambientes virtuales. También cuentan con una solución de Data Lost Prevention o DLP que hace análisis detallados de vulnerabilidades. En lo referente al aprovisionamiento de aplicaciones para la creación de políticas, IBM tiene a Rational Websphere, que correlaciona todas las capas de la infraestructura y crea ambientes seguros y candados incluso en sistemas legados.

Tivoli, Lotus e Information Management pueden resguardar la información sin cifrarla, además crean esquemas eficientes de respaldo. Respecto al modelo sugerido Juárez opinó:

“Este modelo ayudará a las empresas a fijar mejor sus inversiones, porque cuando piensan en seguridad se limitan a considerar antivirus, firewalls y soluciones para las redes, sin antes haber identificado qué información manejan; si ésta es pública, personal o confidencial y cómo podrían protegerla”, señaló Juárez.

Todas las soluciones de IBM están disponibles a través de los socios para su instalación, o dependiendo del canal serán ofrecen como servicios profesionales. El valor que sumen a la propuesta tecnológica del fabricante dependerá de los análisis de riesgos que hagan, las ventas consultivas y el soporte a las soluciones.

IBM espera que los canales se abran camino entre las PyMES, pues han creado paquetes de seguridad escalables y con esquemas financieros flexibles, en donde se ofrece la tecnología sin que la PyME tenga siquiera que invertir en infraestructura, la cual puede utilizar mediante un modelo de servicio.

Otros portafolios como el de SafeNet y el de McAfee trabajan en base a normatividades impuestas con anterioridad en otros países. El portafolio de SafeNet apuntala sobre todo encripción de datos con la solución Data Secure, que cifra información sensitiva, como números de tarjetas bancarias por ejemplo, evitando así que caiga en manos de terceros.

Roberto González, desarrollador de negocio de SafeNet en México, explicó que sus soluciones combinan hardware y software para protegen datos como nombres, fotos, huellas dactilares, números de tarjetas bancarias, información clínica entre otros.

Protegen además servidores de archivos, de aplicación, de bases de datos, virtualizados y de almacenamiento. De igual forma trabajan resguardando aplicaciones en la nube así como la información que se transmite hacia éstas, sin importar su ubicación lógica.

El appliance de SafeNet se comunica con los servidores donde se instala el software y se resguardan los datos sensibles; cuando un usuario pretende acceder a estos se revisa que tenga las credenciales necesarias para ingresar a él.

La plataforma de SafeNet permite a la empresa crear políticas de acceso restringiendo el paso a las bases de datos a usuarios no autorizados.

En McAfee cuentan con soluciones más variadas. Edgar Gómez, especialista en seguridad en McAfee México, explicó que cuando el dueño de alguna información solicita que se cancele la disponibilidad de sus datos en determinada empresa por haber concluido su contrato, debe haber un proceso en el que la información se bloqueé desde la misma base de datos, y se deje evidencia de la acción.

Esto forma parte de los derechos ARCO que tienen los dueños de la información, y se puede realizar a través de McAfee Identity Monitor, que identifica quien accede al dato, bloquea a éste último y emite solicitudes de acceso o de privacidad.

Gómez también comentó que la solución Resse Advisor, extrae la información de los equipos de una red, los correlaciona y compara con el sistema de Amenazas de McAfee mundial que se actualiza continuamente. Al detectar un equipo vulnerable se le brinda protección e información puntual al administrador de esa red quien recibe sugerencias y puede tomar medidas enseguida vía remota y desde una sola consola.

Otras soluciones que manejan son DLP, McAfee Endpoint Encryption que cifra los discos duros de los equipos de cómputo, así como los discos de servidor y finalmente McAfee Mobility Management, que administra las tablets y smartphones desde donde se accede y emite información sensible.

Check Point también tiene un portafolio que bien podría satisfacer varias necesidades de las empresas en materia de protección y resguardo de datos; tienen la solución Full Encryption que cifra incluso correos electrónicos. También tienen una solución para la gestión de smartphones que aplica políticas de seguridad y limita el acceso a información por medio de este tipo de equipos.

Enrique Navarrete, gerente general de Check Point México, señaló que una de las soluciones más requeridas es aquel dispositivo USB que se conecta a cualquier computadora para hacer enlaces a VPN's seguras. Aunque también está la modalidad del appliances para la creación de estas VPN's.

Explicó que recientemente, Check Point ha realizado adquisiciones que le permiten ensanchar sus alcances en materia de compliance; además, el canal podrá encontrar en el portafolio una alternativa más de DLP.

La visión de Symantec no dista mucho de las otras compañías, aunque debido a las exigencias de su programa de canales, las soluciones se mueven conforme a diversas especializaciones. Éstas son nueve, y algunas de ellas encajan en el requerimiento que exige la Ley de Protección de Datos.

La primera especialización a citar es Data Lost Prevention, que evita la pérdida de información confidencial y optimiza la administración de ésta. La especialización de encripción y cifrado ayuda al cumplimiento de uno de los artículos ARCO sobre el derecho que tiene el dueño del dato a pedir que éste se borre de la base de datos de alguna compañía.

Otras especializaciones son Archiving y eDiscovery, que mantiene los documentos y datos administrados al día, de manera que una empresa puede estar lista en caso de que se le abra una investigación o juicio por incumplimiento de la Ley.

Loza comentó que la especialización de Endpoint Management toca el tema de registro y revocación de datos, y consideró que seguramente pronto habrá alguna especialización referente a la información resguardada en la nube, puesto que es un tema tocado en el artículo 52 de la LFDPDPPP.

Sobre el tema de las firmas electrónicas, el reglamento dice que su transferencia y almacenamiento requerirá de una infraestructura robusta y administrable. Aquí Symantec puede otorgar las ventajas de la solución VeriSign referente a la certificación del registro de datos sensibles y avisos de privacidad.

La especialización Enterprise Security, ayudará a los canales a proteger los correos electrónicos de sus clientes, así como el resto de datos que transmiten o transfieren. IT Compliance les ayudará a cumplir el artículo 19 que exige seguridad técnica y administrativa a las empresas, además de que dará las bases para que el canal transfiera el conocimiento de las soluciones y la importancia del resguardo de la información a los empleados de sus clientes.

Canales y empresas deben entender que la Ley establece puntos básicos a obedecer como: bloqueo de datos, disociación de éstos, obtención de los mismos, así como su cancelación, resguardo, transmisión, almacenamiento y control de vulnerabilidades además de la verificación de las actividades del personal que interactúan con el dato.

Táctica y estrategia

Atrás de todo buen negocio hay una estrategia de canales pensada, aprobada y sustentada de parte de las empresas que promoverán a lo mejor de sus canales, así como a los interesados y comprometidos, para que los representen en los nuevos negocios.

En IBM por ejemplo, tienen un plan de negocios para los interesados en el negocio que nos compete, en donde se definieron recursos de ventas y técnicos, así como desarrollo de oportunidades y el registro de las mismas. El fabricante incluso los ayudará a calificar las oportunidades que el canal encuentre para así ayudarlos a acortar los ciclos de negocio; además los orientará y apoyará con papeleos, charlas con clientes, presentaciones y demo de soluciones.

Para SafeNet el negocio de la Ley de Protección de Datos es prioritario este 2012. De acuerdo con González, el 60% de su red de asociados ha mostrado algún interés en el tema y en las oportunidades de negocio que esto les representa. El ejecutivo consideró que a pesar de que la cifra es baja, ésta puede incrementarse en la medida que se abran oportunidades en mercados donde la criticidad de la información es tal que no se puede escatimar en su protección.

En este tipo de empresas se pueden encontrar según lo dicho por González las dependencias gubernamentales, federales, municipales, estatales; las instituciones financieras; el sector de telecomunicaciones, y los centros de contacto, además claro, del resto de empresas que manejen datos de sus clientes.

La estrategia de SafeNet para propiciar el negocio de sus canales se basa en entrenamientos trimestrales técnicos y comerciales, stock suficiente con sus mayoristas y soluciones calificadas. Al cierre del 2011, Gómez se congratulaba por haber otorgado leads a los canales que tomaron las primeras capacitaciones.

En Symantec, desde hace aproximadamente un año los canales trabajan conforme las especializaciones mencionadas anteriormente, lo cual no es suficiente si se trata de competir por el mercado de la Ley de Protección de Datos, pues los asociados, como lo explicó Loza, deberán entender no solo el marco tecnológico sino también el legal, pues tomarán el papel de asesores de sus clientes.

Para soportar la labor de los canales y dar certeza a los clientes, Symantec sostiene ejercicios demo con información real de los consumidores sin que se ponga en riesgo. De la mano del canal desarrollan en 15 días una metodología que prueba a los clientes el funcionamiento de las herramientas y su viabilidad en el negocio.

En este ejercicio también se despejan dudas sobre costos, retornos de inversión, la reducción de riesgos además de que ayudará a ubicar huecos y fallas en los procesos.

El ejecutivo de Symantec se mostró satisfecho porque la empresa cuenta con un canal que conoce las herramientas del portafolio y han mostrado interés en conocer tanto el reglamento como las oportunidades que éste les abre. De los clientes esperan que éstos aprendan a diferenciar entre ofertas y exijan asesoría y metodologías probadas, mezcladas con experiencia en consultoría de los canales.

En McAfee tienen confianza en el equipo especializado que ha formado que conoce tanto la Ley como las soluciones, pues consideran que ellos tendrán muchas oportunidades de negocio este año. Sin embargo, reforzarán los ciclos de capacitación que se han dado al respecto desde 2009 cuando comenzaba a plantearse el tema para ampliar un poco esa comunidad de socios.

Respecto a la percepción que tienen de los clientes, Gómez consideró que éstos viven dos reacciones opuestas ante esta reglamentación; por un lado perciben que hay quienes invertirían en su seguridad aunque la Ley de Protección de datos no los forzara a ello; regularmente este tipo de clientes conoce el valor de su información, Por el otro lado consideran a las empresas que se conformarán con mantener los esquemas de seguridad que tienen hasta el momento y que no invertirán hasta ver los primeros cortes de cabeza (sic) que haga el IFAI.

Desafortunadamente consideró que son más quienes en el mercado siguen indiferentes y en el desconocimiento, y quienes actuarán para el cumplimiento de esta Ley de manera reactiva en lugar de proactiva;

“Sin embargo, nosotros junto con los canales tenemos que ser más proactivos; tenemos que hablar de las vulnerabilidades, multas, riesgos a las empresas y convencerlos de que proteger su información es proteger a sus negocios”, explicó Gómez.

En Check Point la visión difiere un poco. Desde la perspectiva de Navarrete quienes invertirán primero en estas soluciones serán las empresas grandes y medianas que cuenten con un área propia de TI, y cuyo administrador esté informado de la reglamentación.

“La Ley tocará en algún momento a todos, pero si dependerá mucho de los presupuestos de las empresas el ritmo de inversión”, confirmó el directivo de Check Point.

Para impulsar la venta de soluciones, pero sobre todo el conocimiento oportuno de la Ley, las compañías deberían propiciar acercamiento con sus canales, talleres especiales, charlas con los clientes finales y todos aquellos espacios en donde se pueda crear un diálogo en el que se hable de las soluciones y del marco normativo para que se despejen las dudas que a estas alturas aún deben ser muchas.