Blog

En el artículo anterior hablamos acerca de los graves problemas que genera a las empresas en general, no contar con una política de MFT (Managed File Transfer) en sus organizaciones. En ésta oportunidad, mencionemos también las dificultades que genera a las empresas el hecho de que las organizaciones, en líneas generales, no clasifican su información como deberían. En su gran mayoría cuentan con una Política de Seguridad dónde se establecen las categorías y los criterios para definir cuál corresponde en cada caso, pero los “dueños” de los datos no realizan su clasificación.

Cuando nuestra infraestructura de TI no cuenta con herramientas acordes a la forma en que la gente realiza su trabajo, los usuarios recurren a las llamadas “puertas traseras”, tales como cuentas de correo electrónico privado o secuencias de comandos FTP integrados en las aplicaciones. Este enfoque para la transferencia de archivos normalmente no ofrece visibilidad en los datos que se transfieren y quién es responsable de los mismos, y no impone básicos controles de seguridad a la salida de datos de la empresa.

Los métodos para el intercambio de información varían en función del tipo de información que se transfiere, y el método de entrega utilizado. El correo electrónico es de uso común para el envío de mensajes especiales. Por para el intercambio de datos estructurados o programados altamente sensibles, tales como información personal sobre salud, información financiera confidencial o de seguros, una solución de MFT (Managed File Transfer) debiera ser implementada.

Cuanto más sensible sea el contenido de un mensaje o archivo, mayor será la necesidad de aplicar políticas de control. La necesidad de establecer políticas, seguimiento de las acciones realizadas y garantizar la seguridad relacionada con las transferencias de datos conduce inexorablemente a la necesidad de implementar una solución de MFT.

Dicha solución de MFT debiera necesariamente incluir las siguientes características clave:

1. Un enfoque modular para la implementación. Esta estrategia permitirá a la empresa el soportar y manejar adecuadamente las aplicaciones heredadas. El reemplazo total y repentino de la infraestructura para realizar una mejora operativa que instantáneamente cumpla con las mejores prácticas no es realista. El enfoque “quitar y reemplazar” tiene un costo prohibitivo, añade una complejidad innecesaria y alarga el tiempo de retorno de la inversión.
2. Completa visibilidad sobre todos los patrones de uso del movimiento de archivos, incluyendo los archivos transferidos a través de correo electrónico. La mayoría de los flujos de archivos “Sistema-a-Sistema” están en general bien entendidos, como lo son los flujos B2B. Sin embargo, pocos proveedores incluyen el método más común para el movimiento de archivos internos y externos – como lo es el correo electrónico – como un componente estándar en su arquitectura.
3. Control y cumplimiento a través de políticas de gestión. Si no se comprende y gestiona eficientemente el contenido, destino y nivel de sensibilidad de los datos que se transfieren, se arriesga a perder información confidencial que sale al mundo exterior. Una solución integrada de manejo de políticas ofrece una sencilla interfaz para gestionar el contenido y aplicar una serie de acciones para proteger mejor a la empresa, y reducir al mínimo la interrupción del flujo de negocios.
4. Visibilidad “agnóstica”. Si bien no es realista estandarizar en una sola plataforma inicialmente, es fundamental tener una visión consolidada de la generalmente fracturada infraestructura existente (heredada) a través de una herramienta que permita la visibilidad basada en eventos, que sea independiente del proveedor y la aplicación utilizada. SFTP entre plataformas ya no es suficiente

En resumen, la implementación de una correcta solución de MFT tiene el potencial de cambiar radicalmente la forma de percibir el intercambio de datos, convirtiendo la transmisión de archivos desde un punto de vista de un “centro de costos” en una “unidad de negocios” de importancia esencial en la gestión de la empresa, donde se logren combinar la trazabilidad y gobernanza de las actividades de transferencia, así como se puedan utilizar correctas prácticas de cifrado de datos, utilizando algoritmos que no sean actualmente considerados como inseguros, ya sea por la longitud de las claves que utilicen o bien por sus características.

Pablo Orradre  

Consultor – Especialista en Managed File Transfer