El mes pasado, Sony reveló el coste asociado con la reparación de la brecha masiva de seguridad que expuso la información personal de más de 100 millones de usuarios de los servicios PlayStation Network y Qriocity: como mínimo 171 millones de dólares. Ésta fue la mayor violación que ninguna empresa había experimentado nunca, según el presidente de Sony, Sir Howard Stringer, y la asombrosa suma cubrirá las mejoras de seguridad, las compensaciones a los clientes, y los servicios de investigación. Sin embargo, la cifra total será más difícil de calcular, ya que incluirá la pérdida de confianza del cliente en la empresa.

El episodio fue un recordatorio de los retos de cuán importante es la seguridad de los datos—y un indicador de que muchas organizaciones no se están protegiendo lo suficientemente bien. "Cuando se trata de todos estos problemas de seguridad, las empresas no están invirtiendo por avanzado, pero después tienen que gastar mucho dinero para arreglar las cosas", afirma Thomas Ristenpart, investigador de seguridad informática de la Universidad de Wisconsin, en Madison.

Este mes, la serie impacto en los negocios se centra en proteger los datos contra el robo y la pérdida. Vamos a estudiar las tácticas de seguridad que las empresas deberían estar utilizando, las inversiones que deberían estar haciendo, y las preguntas que deberían estar preguntando. Vamos a examinar las prácticas inteligentes para dispositivos móviles, trabajadores remotos, y la computación en la nube, y leeremos las ideas de los pensadores más importantes del campo.

Las amenazas a la seguridad de la información se multiplican, en parte porque los almacenes de datos del mundo están creciendo rápidamente a medida que el costo de almacenamiento se desploma y la disponibilidad a los ordenadores y al acceso a redes se expande. A medida que este filón de datos crece, también crece su atractivo para los delincuentes y piratas informáticos.

Para protegerse, las empresas pueden imponer controles de acceso a datos confidenciales, cifrar estos datos y gestionar apropiadamente las claves de cifrado, realizar auditorias sobre las actividades de los usuarios, y contratar consultores para asegurarse de que sus prácticas de seguridad están al día. Además, como el eslabón débil de la cadena de seguridad, a menudo son las personas, una de las cosas más importantes que las empresas pueden hacer es formar a los empleados en prácticas básicas de seguridad de datos. La mayoría de historias de este mes sostienen que la seguridad de la información no es sólo una cuestión de la que tenga que preocuparse el departamento de TI. Tiene que tenerse en cuenta a través de toda una empresa, comenzando por los niveles más altos, donde se toman las decisiones sobre inversiones de capital.

En una hoja de ruta de investigación cibernética (PDF) elaborada el 2009 por el Departamento de Seguridad Nacional de EE.UU., se informaba de un gran reto. Entre otras cosas, el estudio descubrió que debido a que las tecnologías de la información y los métodos de ataque están evolucionando tan rápido, las organizaciones tienen dificultades para determinar si sus datos se están volviendo más o menos seguros, si están más o menos seguros que en otras empresas, o si queda justificado un determinado nivel de inversión. No ayuda el hecho que muchas organizaciones evalúan cuestiones básicas de seguridad bajo una perspectiva financiera de corto plazo—a pesar de que los análisis de costes-beneficios son difíciles de hacer porque los costes de no tomar las medidas de seguridad adecuadas podrían no ser evidentes hasta varios años más adelante. "Las decisiones resultantes de estos análisis serán con frecuencia en detrimento de mejoras significativas de la seguridad a largo plazo", indica el informe.

Las cosas aún se complican más porque cuando se producen violaciones de los datos, las empresas no siempre son completamente transparentes. (Sony tardó seis días en advertir a los usuarios que su información había sido expuesta.) Una respuesta más rápida ayudaría a las empresas o personas víctimas o víctimas potenciales cuyos datos fueron expuestos a tomar medidas para mitigar los daños.

Varios posibles cambios en las regulaciones gubernamentales podrían endurecer las normas sobre cómo hay que informar sobre este tipo de infracciones qué información debe ser revelada. Actualmente, en los Estados Unidos, hay 47 leyes estatales que rigen la divulgación de las violaciones de datos que exponen datos personales, pero recientemente el presidente Obama ha propuesto que una única ley federal rija el proceso.

Eso sería de gran ayuda, comenta el criptólogo Bruce Schneier, responsable de tecnología de la empresa global de telecomunicaciones BT—aunque su utilidad dependerá de cuán completa resulte ser la ley. Lo que en este momento está claro es que las consecuencias de las violaciones de datos a menudo son poco claras. "No sabemos quién tuvo acceso a los datos—si fueron criminales, niños, o espías", destaca Schneier. "No sabemos qué vulnerabilidad provocó la violación." A veces lo único que sabemos con certeza es cuánto costaron los daños.