Empresas argentinas, expuestas al Wikileaks
*Mariana Idrogo. Mucho se ha hablado en estos días del caso de fuga de información que puso en jaque al Gobierno de los Estados Unidos, pero, más allá del impacto político internacional, el caso ha generado una sensible preocupación en las empresas privadas, que ya han comenzado a preguntarse cómo evitar los riesgos de filtración de información calificada.
Y no es para menos. La documentación secreta de los Estados Unidos que difundió el sitio Wikikeaks ha puesto de manifiesto el enorme impacto que conlleva el riesgo de no contar con la seguridad apropiada para proteger la información sensible, confidencial o clave-para una entidad, sea un gobierno o una empresa.
Las consultas que hemos recibido en Integrity International la última semana han girado en torno de este punto. La pregunta es: ¿Me puede pasar un ‘Wikileaks‘ a mí?
En este aspecto no hay respuestas únicas y cada caso requiere de una revisión particular. Pero, en términos generales, las empresas argentinas tienen un gran nivel de exposición a que les suceda.
Y es que los ejemplos de falencias en la seguridad de información abundan en nuestro país.
Por ejemplo, recientemente hemos descubierto la fuga de información de un importante grupo económico, a través del estudio contable externo.
El mecanismo, muy simple: el estudio no disponía de trituradoras de papeles, con lo cual los borradores y listados de los reportes mensuales de la compañía estaban al alcance de cualquiera que hurgara en la bolsa de residuos del edificio del estudio contable.
A menudo encontramos que las fugas de información se producen porque son prácticas comunes en las empresas que los empleados o directivos copien archivos en sus computadora portátil, los bajen a pendrives o se los envíen por email a su casilla privada para poder ‘trabajar‘ a distancia.
Es cierto que la dinámica de trabajo muchas veces nos exige trabajar en viajes, en presentaciones fuera de las oficinas de la empresa o trabajar desde casa.
Pero sin una política adecuada de seguridad, es imposible proteger la información y discernir si un empleado necesita la información para trabajar genuinamente desde su casa o si se trata de un empleado infiel que quiere llevarse cierta información con la excusa de hacer teletrabajo. Y una vez producida la fuga de información, el daño suele tener un gran impacto y sus consecuencias suelen ser muy difíciles amén de costosas de reparar.
Si la empresa quiere protegerse para evitar un caso como el que quedó expuesto en Wikileaks, nuestro consejo es que lo primero que debemos hacer es analizar el sistema integral de seguridad y protección de la información de la empresa. Ver si existe, si es adecuado a la empresa -es decir, si responde con medidas de protección a los distintos riesgos propios de la empresa, su negocio y su contexto-, si se aplica, si las personas encargadas de llevarlo a cabo e implementarlo lo están haciendo correctamente, etc.
Muchas veces nos encontramos frente a sistemas de seguridad obsoletos, que no dan cuenta de todos los riesgos más importantes a los que se enfrenta la empresa, que no se aplican porque son demasiado engorrosos, que están escritos pero las cosas se hacen de otro modo ‘porque siempre se hicieron así’.
Una vez realizado el análisis de sensibilidad y la estructura de seguridad de la información se abren dos líneas de trabajo:
La humana: análisis del personal con acceso a al información sensible: quiénes son, qué los motiva, si tienen necesidades de dinero adicionales, si sus ingresos condicen con su nivel de vida, si tienen problemas de relación, etc.. La mayor cantidad de fugas que hemos detectado provienen de este entorno o están vinculadas con ellos. Es decir los sistemas son mucho más fáciles de vulnerar si alguien desde adentro nos abre la puerta o nos dice cómo podemos conseguir la llave; nos dice dónde están las trampas y por sobre todo nos comenta cuál es el premio que podemos obtener dentro.
La informática: la información plantea dos problemas básicos ambos igual de importantes y peligrosos, su mantenimiento y su desaparición. Es decir por un lado cada día queremos servidores más seguros para proteger nuestra información confidencial, multiplicar las copias y los accesos, pero por otro existe determinado tipo de información, de carácter sensible, que sería conveniente poder eliminar en forma inmediata una vez después de recibida. Como la grabadora de Misión Imposible que se autodestruye en 40 segundosà La seguridad de la información empieza desde la arquitectura misma de los sistemas. Significa contar con un hardware y software apropiados, y con políticas y procedimientos de seguridad, con permisos de acceso por niveles, con passwords de acceso personales y no conocidas por varios, con destrucción de discos rígidos posteriores a su uso, etc. Y no basta con tomar medidas dentro de la empresa, fuera están los proveedores, y muchas veces estos proveedores manejan mucha información que también necesita ser protegida (las fechas de cobro y retiros de pagos, la cantidad y tipo de mercadería que se trasladará y adónde, etc.).