Wikileaks es sólo la punta del iceberg. Las empresas pueden perder información sensible de maneras insospechadas, de tan simples que resultan; y la mayor parte de las veces ni siquiera se enterarán porque esos datos no serán divulgados públicamente
En todos los medios se habló mucho sobre Wikileaks, en particular por la naturaleza de la información dada a conocer y porque ésta involucraba a diversos gobiernos, no solamente al de los Estados Unidos. Sin embargo, por debajo del agua, muchas empresas sufren pérdidas considerables debidas al robo de datos confidenciales. Algunas veces, estos datos son revelados públicamente, otras veces sólo se dan a conocer a un determinado grupo de personas, a modo de venganza o chantaje; en algunas ocasiones, la información robada tiene como objeto perjudicar la estrategia de una compañía, y en otras simplemente buscan obtener bases de datos para vender en el mercado negro.
Cualquiera que sea el objetivo del robo de información, la pregunta que todas las empresas deberían hacerse es: ¿está mi organización preparada para prevenirlo? Y esta pregunta abarca no solamente el tema tecnológico, sino también el de los procesos y, más importante aún, la gente.
A final de cuentas, las filtraciones más grandes son producidas desde el interior, y no vía un atacante externo que escale privilegios para encontrar la información deseada. ¿Qué están haciendo las organizaciones para prevenir que su información confidencial sea distribuida?
Un empleado administrativo de Despegar.com, agencia de viajes en México y América Latina, contó que la compañía implementó, de un día para otro, la medida de prohibir a los trabajadores el uso de sus teléfonos celulares durante todo el día, argumentando una nueva política de protección de datos. Sin embargo, agregó el empleado, los accesos al Messenger y sitios Web como Facebook y los correos personales siguen abiertos, de tal forma que un colega malintencionado bien podría estar filtrando información por estos medios, mucho más riesgosos que el celular.
Así, más allá de simplemente tomar medidas arbitrarias para proteger la información, lo importante es ponderar qué tipo de medidas son las adecuadas para cada organización, tomando en cuenta la información clasificada como sensible que maneja cada empresa y las formas en que ésta información podría ser divulgada.
Del tamaño del sapo es la pedrada
Lo que hizo tan sonado a Wikileaks fue la relevancia de los datos difundidos y su impacto a nivel internacional. Se dieron a conocer nombres de personas y organismos gubernamentales, se difundieron órdenes de asesinato, conversaciones entre altos funcionarios, corrupción, etcétera.
Sin embargo, detrás de todo incidente de seguridad hay móviles: ¿Cuál era el objetivo de quienes filtraron la información? ¿Qué tecnologías tenía la organización para impedir el incidente? ¿Existía un análisis de riesgo que regulara la aplicación de esas tecnologías? ¿Qué procesos, procedimientos y controles se encontraban implementados?
En definitiva, la fuga de información es consecuencia de muchos factores, pero siempre es una indicación de una falla sistémica en distintos niveles de la organización. También es cierto que hay quienes persiguen fines económicos, lo cual puede ser más difícil de prevenir. En cualquier caso, la combinación de técnicas, herramientas y sistemas de gestión que integren enfoques desde el punto de vista de las personas, los procesos y las tecnologías, han probado ser los más efectivos hacia lo mejor que podemos aspirar en cuanto a la seguridad de la información: reducir el riesgo a un mínimo aceptable para la continuidad del negocio.
Una vez que se han implementado todas las medidas tecnológicas y se han establecido políticas y procesos, permanece el eterno eslabón débil, aquél que no es susceptible de ser programado o condicionado metódicamente a voluntad de los intereses de la empresa: el factor humano. En este caso, es necesaria una estrategia de concientización entre los empleados, así como la comunicación de las normas, políticas y consecuencias de la violación de dichas regulaciones.
Sin embargo, obtener el compromiso de la gente requiere de un esfuerzo mayor que simplemente redactar y publicar documentos con políticas de seguridad. Asimismo, éste compromiso debe depositarse en empleados de confianza, con funciones y permisos específicos. Pero siempre protegiendo los documentos y datos a los que éstos empleados tienen acceso, por medio de tecnologías y procesos sustentados.
Se han dado casos en los que un trabajador llegaba con un disco compacto grabable con archivos de música con la etiqueta de algún artista, borraba la música y grababa un archivo comprimido en partes y así extraía la información. Sin ir más lejos, los USB son un diminuto y riesgoso medio de extracción de datos electrónicos (o de inserción de código malicioso, como fue el caso de Stuxnet).
Estudios realizados en la Unión Europea muestran que 49% de los empleados se lleva información cuando cambia de trabajo. Como ejemplo, un exempleado de Boeing fue acusado de robar 320 mil archivos y filtrarlos a un periódico, copiando la información sensible en una unidad extraíble, violando así las directivas de seguridad de la compañía. La firma calculó que el daño potencial podría suponer entre $5 mil y $15 mil millones de dólares.
Sin embargo, la mayoría de las empresas no son conscientes de este peligro o enfocan sus esfuerzos de manera inadecuada, como en el caso de la agencia de viajes mencionada anteriormente. ¿Cuál es la medida justa para cada organización?
Las empresas afectadas por estos incidentes pueden sufrir las consecuencias de la erosión de la confianza, de la marca, pérdida de negocio y, en algunos casos, sanciones civiles e incluso criminales. Así, cada organización debe evaluar qué tipo de datos son los que más riesgo generan al negocio y, en consecuencia, establecer las medidas de protección para estos datos, involucrando tecnología, gente y procesos.
Para recordar
Si bien la seguridad de la información posee un marco definido y probado para la gestión integral de los aspectos principales que la conforman (confidencialidad, integridad, disponibilidad), que es el sistema de gestión definido por la norma ISO 27001; alrededor de este sistema de gestión se pueden integrar otras normas y recomendaciones sobre aspectos específicos como la continuidad del negocio, el gobierno de IT o la gestión de servicios de IT.
Todos estos marcos de control emiten una serie de recomendaciones adaptables a cada organización, que abarcan tanto la parte de sistemas como el factor humano. Temas como la ética laboral y la necesidad de establecer canales de comunicación claros y abiertos en la organización, son relevantes en estas normas.
Aunque no lo parezca, es realmente fácil que se produzca una fuga de información por cosas tan sencillas como empleados que ponen sus contraseñas en notas adhesivas sobre sus monitores, olvidan portátiles o dispositivos de mano en lugares públicos o en su auto; mantienen sus equipos desbloqueados cuando se ausentan, dejan sin atención los USB con información empresarial sensible o navegan por Internet desde sus casas mientras están conectados a sus redes empresariales.
Los individuos maliciosos llegarán muy lejos para conseguir su acceso a los datos, utilizando todas las formas de ataque posibles. Por ello, las empresas tienen que asegurar que todas las brechas están cubiertas, todos los sistemas están actualizados, todas las cuentas de sistema no utilizadas están deshabilitadas y, por último, pero no menos importante, asegurar que todos en la empresa son conscientes de las amenazas y saben cómo contrarrestarlas.
Cada empresa debe poner en marcha una directiva eficaz de seguridad empresarial y darla a conocer a todos los empleados, sin fiarse de su buena voluntad para cumplirla.
