Robo de información: la amenaza que viene de dentro
Se ciernen sobre nuestras empresas nuevas amenazas. En esta ocasión, no vienen en forma de ataque distribuido a nuestros servidores de unos ‘hackers’ sin escrúpulos o en forma de potente gusano capaz de saltarse los filtros de los firewalls e IPS. Tampoco es un virus letal sin remedio que vaya a dejar inservibles nuestras máquinas, sino que se trata de algo mucho más sencillo y, sin embargo, mucho más difícil de evitar: un empleado que accede a los servidores de su empresa con una memoria USB y copia determinada información confidencial de la compañía.
Se nos plantea un nuevo reto en el ámbito de la seguridad empresarial: el robo de información sensible. No importa si se trata de un banco, una aseguradora o un hospital: los datos son información y la información es poder. Es necesario controlar el flujo de datos que entran y salen de los equipos de nuestra red, auditando las aplicaciones y los dispositivos utilizados. Hoy en día, ya no sirve con meter en una lista negra las aplicaciones típicas a denegar a nuestros usuarios, sino que hay que ir más allá y lo que se necesita es una lista blanca en la que se definan las únicas aplicaciones permitidas para correr en esa máquina, asegurándonos de este modo que nadie va a instalar nada, de forma consciente o no, en nuestra infraestructura. Por otro lado, es igual de importante controlar todos los dispositivos de entrada/salida del ordenador.
Prevenir la pérdida de Información
Tenemos que ser capaces de acotar el grupo de usuarios que van a poder utilizar los puertos USB e incluso, a un nivel superior, restringir estas memorias a una marca y tamaños concretos y a un número determinado de unidades. Con todos estos controles se reduce al mínimo el riesgo de robo de datos. De todos modos, siempre habrá gente con los privilegios suficientes para sacar información, así que se deberían complementar estos controles dejando una copia exacta de la información copiada en estos dispositivos en un servidor interno y dejando constancia del registro del usuario, la fecha y la hora.
Tampoco debemos perder de vista la opción de la encriptación. En primer lugar, intercambiar archivos o mensajes por correo electrónico con privacidad y autenticidad, es decir, que sólo la persona a la que va dirigido ese mail o información sea capaz de verlo. En segundo lugar, ¿qué pasaría si mientras transportamos esa información en un disco duro externo o ‘pendrive’ la perdemos o nos la roban? Si tenemos encriptados estos dispositivos, sólo nosotros seremos capaces de ver el contenido, por lo que nadie podrá utilizar la información sustraída de forma fraudulenta.
Lo que está claro es que los proveedores de todos estos sistemas de seguridad han de tener la habilidad de ofrecer esta tecnología a las empresas, sin descuidar la facilidad de implantación y gestión. Seguro que hay sistemas de seguridad infalibles, tan infalibles que ni los propios administradores pueden usarlos después de instalarlos. Hay que buscar el equilibrio entre la seguridad y la facilidad de uso de dichas aplicaciones. Asimismo, el coste de dichas soluciones nunca será equiparable al coste que puede suponer en una empresa de cualquier tipo la fuga de información confidencial.
Por último, imaginemos un complejo sistema de seguridad para acceder a una oficina basado en el reconocimiento del iris, de tal modo que las puertas sólo se abren cuando el sujeto registrado sitúa su ojo a la altura del control. Aparentemente es un sistema seguro y sofisticado, pero ¿qué impediría que cuando se abriese esa puerta no pasen dos o tres personas más aparte del usuario registrado?
Es fundamental preocuparse por la seguridad física y perimetral de nuestros equipos y redes, pero en ocasiones nos olvidamos de que el propio ser humano puede ser el sujeto de los problemas de seguridad de una empresa, ya que, como comentaba anteriormente, la información es poder, y el ser humano tiene un precio.