Wikileaks y la seguridad en la empresa

Wikileakstoday

Las últimas semanas han sido informativamente intensas a raíz de las filtraciones acerca de los informes que los embajadores de los EE UU cursaron en los últimos años a su Administración sobre los asuntos internos de los gobiernos y sus relaciones internacionales. Independientemente de la opinión que nos merezcan dichas desclasificaciones, lo que ha quedado patente es que se han producido multitud de brechas de seguridad en los sistemas y procesos de la Administración norteamericana, agujeros que, por otro lado, han generado grandes beneficios a determinados grupos de comunicación.

A pesar de su gran repercusión, estas filtraciones son solamente una pequeña parte de toda la información confidencial que circula y reside en los sistemas de todo el mundo. La información de más valor, aquella de la que se puede obtener más beneficio por su venta, su conocimiento o difusión, no está en las Administraciones, sino en las grandes corporaciones y en las empresas con un liderazgo tecnológico relevante. Siendo así, parece lógico pensar que uno de los próximos objetivos de estas organizaciones ‘caza-información’ sean empresas de reconocido valor o posición en el mercado. En el contexto actual, donde las compañías no terminan de ver la salida a su situación financiera y donde el consumo está muy debilitado por los problemas económicos de los consumidores, disponer de productos o tecnologías líderes supone una ventaja competitiva diferencial y un salvavidas empresarial.

A modo de ejemplo, imaginemos una empresa con una tecnología de fabricación que reduce los costes de un producto al 25%. Evidentemente, es lógico pensar que conseguirá una posición dominante en el mercado, que sólo podrá mantener mientas sea capaz de conservar la exclusividad de su fórmula. Por tanto, la información relativa a su estrategia, sus procesos, su tecnología, tiene que estar identificada y protegida de cualquier ataque, interno o externo a la organización. Sin olvidarnos las frecuentes pérdidas de información confidencial de manera fortuita, situaciones donde las empresas se enfrentan a importantes sanciones en materia de protección de datos impuestas por las Administraciones (véase el caso reciente de la NASA).

Una vez entendida la amenaza sólo cabe ponerse manos a la obra, estableciendo una política de seguridad que trate de reducir al mínimo los riesgos en materia de seguridad, mientras proteger al máximo la información identificada de carácter estratégico.

¿Por dónde empezamos? Sin querer hacer un tutorial en este post sobre la política de seguridad de una empresa, sí que sería necesario empezar por auditar los tres niveles básicos de protección: el de red, el de equipo y el de información. Cada nivel tiene unas aplicaciones y políticas específicas. Por ejemplo, si hablamos a nivel de red, analizaríamos todos los sistemas de protección perimetral como firewalls, filtrado de virus, spam, anti-DDoS… A nivel de equipo, revisaríamos todas las herramientas que controlan al usuario y que se utilizan en los equipos que el empleado maneja y que muchas veces no tienen porqué pertenecer a la empresa (correo electrónico personal, mensajería instantánea corporativa y personal, dongles usb, alojamiento masivo en red, smartphones…). Por último, en el tercer nivel estaría la protección de la información mediante su identificación y su almacenamiento en espacios de alta seguridad, a mi juicio la más complicada de implantar. Como ejemplo, es frecuente encontrarnos multitud de unidades virtuales en la intranet de la empresa con gran cantidad de información que sólo está identificada por el propio departamento que la ha creado, a veces, incluso sólo está identificada por la persona que la ha originado, con lo cual esa información no tiene asignado un nivel de protección adecuado porque es desconocida por la empresa y podría escaparse sin apenas ser detectada, como si de un archivo cualquiera se tratase.

Toda esta política de seguridad se conoce en inglés como DLP (Data Loss Protection) y tiene por objetivo evitar situaciones de filtraciones de datos, ya sea por ataques externos a la organización como por acciones internas de empleados despistados o con intenciones nada acordes con la ética y desempeño de su trabajo.

Con una política de seguridad correctamente implantada, podremos evitar que la información de nuestra empresa pueda llegar a manos no deseadas, y si no al 100%, si que podremos garantizar que gran parte de la información confidencial esté bien protegida. Lo que no podrá evitar es que las personas que gestionen esa información tengan intenciones o comportamientos poco leales a la organización. Para esos casos donde la ética y la lealtad de los empleados están en tela de juicio, existen otras políticas de la organización que no son objeto de este post… :)

OTROS POSTS

Enlazados en