lunes, 17 de octubre de 2011

3765 Lecciones aprendidas: Más que pecados de obra u omisión


Revisando los resultados de la investigación realizada por la Digital Forensic Association denominada “The Leaking Vault 2011”, encontramos nuevas y renovadas razones para insistir en el estudio y profundización de la inseguridad de la información, como la fuente misma de ideas para continuar asegurando la información en las empresas.

Este estudio analizó más de 3765 incidentes reportados en más de 33 países a nivel global entre el año 2005 y 2010, identificando interesantes hallazgos que nos sugieren marcos de acción para mantenernos cerca de la inevitabilidad de la falla, bien por fenómenos eminentemente tecnológicos como por comportamientos inadecuados.

A continuación mencionamos algunos resultados relevantes del estudio con el fin de plantear ciertas reflexiones que nos permitan intentar acercarnos al fenómeno de la fuga y/o pérdida de la información y entender mejor su asimetría en el contexto empresarial.

• Los vectores más representativos para la pérdida y/o fuga de información son los computadores portátiles, las técnicas de hacking y los documentos impresos.
• Se perfila el web como un nuevo vector para pérdida y/fuga de la información.
• Dejar los portátiles y documentos impresos desatendidos son comportamientos que potencian la pérdida y/o fuga de la información
• No se cuenta con la trazabilidad de los documentos desde que la información se genera hasta su disposición final.
• El malware es la técnica más utilizada para crear entornos que materialicen la pérdida y/o fuga de la información.
• La pérdida de información está generalmente asociada con personal externo o terceros contratados, mientras la fuga de la información, tiene una fuerte asociación con empleados de las empresas.
• Existe un bajo reporte público de las brechas de seguridad (pérdida y/ fuga de información) por parte de las empresas en los diferentes países.
• Se identifica una tendencia de exposición de datos relacionados con registros médicos en la muestra analizada.
• Dentro de los datos que generalmente se exponen con las brechas de seguridad son: Número de seguro social, Número de licencia de conducción, número de la tarjeta de crédito, número de la cuenta bancaria, fecha de nacimiento y datos médicos.

Considerando estos hallazgos retomemos algunas meditaciones que generalmente se detallan en diferentes medios y documentos sobre esta realidad de la pérdida y/o fuga de la información.

El estudio indica que los portátiles, las técnicas de hacking y los documentos impresos son los vectores de ataque más comunes y responsables por más del 90% de los incidentes. En este sentido, sin considerar las técnicas de hacking, son nuestros comportamientos frente al aseguramiento de los portátiles y los documentos impresos, el que genera la mayor vulnerabilidad y oportunidad para que la inseguridad se materialice en diferentes contextos de la realidad organizacional y personal.

Cuántas veces hemos enviado una impresión con documentos clasificados como sensibles o restringidos, cuántas veces hemos dejado el computador portátil desatendido, cuántas veces nos siguen recordando la necesidad de asegurar estos comportamientos y aún continuamos abriéndole posibilidades a los atacantes para que se hagan dueños de la información clave de la empresa o creando el entorno para que, incluso nuestra información personal sea utilizada con fines ilícitos o fraudulentos. Si bien la fuga y/o pérdida de la información no podrá erradicarse por completo, si podemos mantener un umbral cerrado y conocido que nos permita cercar a la inseguridad de la información en terrenos conocidos y claramente abiertos para que la impunidad no sea la protagonista cada vez que se revele un evento de éstos.

Con la alta interacción que tenemos ahora con el WEB y las posibilidades de descarga y carga de información en sitios alternos, la información tiene un flujo inesperado y muchas veces no controlado que genera brechas de seguridad que pueden llegar a comprometer el buen nombre de la empresa o la persona. Tómese un momento para pensar qué pasaría si información de un nuevo producto, o una nueva patente se expone en un sitio en internet y es accedida por terceros sin autorización. Qué pasaría si fotos comprometedoras, que tenemos al interior de nuestros equipos, fuese transportada y expuesta sin nuestra autorización en un perfil de facebook. Estas y otras situaciones nos deben mantener alerta y consciente del aseguramiento de la información y de los protocolos que ésta debe seguir cuando se autorice su movimiento dentro o fuera del dominio de la organización o persona.

De otra parte, los atacantes, sabiendo que las personas son susceptibles de movilizar cuando aparecen nuevos servicios, atractivas ofertas en internet y, sobre manera propuestas de acceso a información privilegiada con pocas exigencias, desarrollan a través de código malicioso estrategias y entornos que buscan tener el control de la máquina o dispositivo de almacenamiento de información con el fin de acceder sin autorización a información personal o corporativa. Esta técnica se aprovecha, nuevamente y en gran medida, de nuestros comportamientos inadecuados frente a la protección de nuestros equipos portátiles o de escritorio. La falta de higiene informática es una de las responsable del gran número de infecciones y plagas informáticas, que pasan entre otras por botnets, gusanos, software espía dado que tenemos una “falsa sensación de seguridad” pues al conectarnos a internet creemos que no somos objetivo de interés de los intrusos, cuando en realidad es todo lo contrario.

Es muy revelador encontrar que la pérdida de información está asociada con los terceros de confianza de la empresa. Con frecuencia encontramos acuerdos de confidencialidad firmados con los contratistas a los cuales poco se les hace seguimiento o auditoría, generando espacios de incertidumbre en el manejo mismo de la información sensible de las empresas. Si bien es importante tener estrategias contractuales para mantener la responsabilidad del tercero frente al manejo de la información, cobra mayor relevancia poder  incluir dentro del modelo de seguridad de la información de la empresa la forma como las empresas contratistas deben darle tratamiento a la información y asegurar el seguimiento y aplicación de las directrices que sobre el particular se den.

De otra parte, se anota que la fuga de información se presenta con mayor frecuencia relacionada con el personal interno de la empresa. Este hallazgo nos habla de muchas posibilidades para analizar. Por un lado, podemos pensar en los aspectos éticos y de cumplimiento de los empleados, elementos propios de la lealtad empresarial, no necesariamente asociados con consideraciones legales, sino de identidad corporativa. Por otro, una falta de consciencia de los empleados de la empresa frente al manejo de la información y sus implicaciones; frente a su personal y con sus grupos de interés. Por tanto, si bien las organizaciones adelantan esfuerzos ingentes para incorporar la cultura de riesgos en el tejido social empresarial, se hace necesario insistir en la comunicación del valor de la información como activo estratégico de las corporaciones y elemento fundamental para soportar la ventaja competitiva de la empresa.

Si bien, en los países desarrollados se viene dando una tendencia por revelar las brechas de seguridad que se han presentado en las organizaciones, como una forma de responsabilidad social y empresarial con sus clientes, en nuestros países en vía de desarrollo, no logramos despegar del todo para seguir esta buena práctica. Por el momento, los reportes de incidentes de seguridad se conocen por “chismes” o “comentarios de pasillo” que se filtran en conversaciones con terceros en los sitios menos indicados: ascensores, restaurantes, filas de acceso a bancos, salas de espera, en general en sitios públicos o por descuidos de pantallas de computadores sin filtros de privacidad que exponen un “secreto” de alguna empresa o persona.

Como bien nos dice la sabiduría popular: “no hay nada oculto entre cielo y tierra que no se llegue a saber”, si debemos establecer los canales oficiales para que la información fluya de la manera más adecuada, en el contexto indicado y sin juicios de valor, para que se informe conforme se es requerido y con los detalles necesarios. No se trata de esconder lo que ha ocurrido, sino de entregar de la mejor forma la información para continuar avanzando en las estrategias de aseguramiento de la información en los procesos de negocio de las empresas.

Ver en un informe internacional que en el análisis de los incidentes se encuentra en la mayoría de las ocasiones información relacionada con datos médicos es realmente inesperado. Estamos acostumbrados a que las brechas de seguridad expongan datos corporativos, secretos industriales o elementos claves de estrategias de empresas, pero que en su mayoría sean datos relacionados con los registros de los galenos sí que es novedad. Esta tendencia en los países desarrollados se explica por la alta relación que existe de estos datos con el acceso a información complementaria de la persona: cuentas bancarias, estados de préstamos, pago de impuestos, identificación personal, entre otras, que son claves para establecer estrategias de suplantación y generar fraudes a nombre de terceras personas.

Si bien lo anterior nos debe llamar la atención frente a los efectos que esto tiene en la vida de las personas, estamos a tiempo para que en nuestras economías emergentes se tomen las medidas requeridas frente a la protección de datos personales, como una primera iniciativa que asegure y fortalezca las prácticas de seguridad y control frente al tratamiento de esta información. Así mismo, sea esa la motivación para que cada uno de nosotros continúe aprendiendo que la información es un activo esencial de nuestra relación social en el siglo XXI y la moneda fundamental de nuestra interacción en un mundo interconectado y abierto como lo es internet.

El informe no indica con detalles aspectos relacionados con las redes sociales, móviles (ahora tabletas, dispositivos de lectura, entre otros) o computación en la nube como otros drivers para las brechas de seguridad de las empresas y las personas, sin embargo es claro que estos tres elementos son parte de los nuevos vectores de la pérdida y/o fuga de la información, pues al estar en permanente movimiento y sin un aparente control, el ciclo de vida de la información no tendrá elementos suficientes para mantener la trazabilidad de las operaciones o tratamiento que se le haga a ésta, dejando la puerta abierta a inesperados eventos que ya empiezan a manifestarse en el mundo actual.

En consecuencia, este estudio, que de manera exhaustiva y formal revela tendencias que intuitivamente conocíamos, nos pone de manifiesto que la ecuación de la inseguridad se conjunta alrededor de la información, la inevitabilidad de la falla y los medios informáticos, con un multiplicador o inhibidor fundamental como son los comportamientos humanos.

En este sentido, que todas estas lecciones aprendidas de los 3765 incidentes puedan empezar a modificar el ADN corporativo de la cultura de las organizaciones frente al tratamiento de la información y nos haga a cada uno de nosotros sensibles a los movimientos de nuestra maestra la inseguridad, para que nuestros próximos “pecados” frente uso de la información, bien sean de obra u omisión, sean un nuevo comienzo para pensar diferente y superar las rutinas defensivas propias de aquellos que “buscan culpables” y no nuevas oportunidades para aprender.

1 comentario: