Velando refiere que las personas que se dedican a estas malas prácticas pueden buscar conocer detalles de un prototipo de producto o tecnología en las áreas de investigación y desarrollo, conceptos y contenidos de una campaña publicitaria, esquemas de operación, detalles de participación en licitaciones públicas, asociaciones y estrategias comerciales. “A diario somos testigos de cómo el robo de información ha hecho perder a industrias millones de dólares como, por ejemplo, sacar al mercado días antes, productos con el mismo nombre, o simplemente falsificar un invento a menor costo, copiando la fórmula de preparación, estrategias de fabricación, negociaciones millonarias, robo de patentes o contratos, entre otros”, anota.
CONVIVENCIA CON EL ENEMIGO
El directivo de Kunak Consulting manifiesta que este tema comprende dos aristas cruciales que los empresarios deberían darle la atención necesaria para salvaguardar su negocio y continuidad de la operación. Se trata de las amenazas internas y externas a la empresa. La primera previene de los propios colaboradores de la entidad quienes poseen derechos de acceso legítimos a información de primera mano y actualizada; mientras que la segunda proviene de esas personas que ofrecen los servicios de espionaje y obtienen información desde fuera, a través de ataques tecnológicos o a través de técnicas de ingeniería social, tales como “dumpster diving” (buscar en la basura, o buscar en papel reciclado), “fake IT calls” (llamadas telefónicas haciéndose pasar personal de TI para buscar información, generalmente contraseñas), etc.
Pero, la más delicada dice Velando, es la de aquellas personas que toman la información desde dentro de la empresa. Recientes estadísticas indican que en el 80% de los casos, quien toma la información son los mismos trabajadores de las empresas, quienes se prestan a éste tipo de cosas por diferentes razones: quieren cambiar de empleo o adquirir mayor valor para la competencia, etc. “Este es un tema que se puede considerar como tabú dentro de cualquier organización, ya que implica muchos valores como son: la confianza, la responsabilidad, la moral, la seguridad, etcétera, de los cuales si no existen pruebas, sería difícil de asignar responsabilidad. Es por ello que sin el afán de que hacer una tormenta en un vaso de agua, es preferible saber cuáles son algunos puntos donde a usted se le podría estar filtrando información para asegurar la confidencialidad de la misma”, enfatiza.
RIESGOS INTERNOS
Stanley Velando comenta algunas prácticas diarias que pueden prevenir el hurto de información. Por ejemplo. Algo muy simple es el hecho de eliminar documentos de manera segura, es decir, tener mucho cuidado con usar documentos con información sensible como papel “reciclado” en las impresoras y tambien poniendo a disposicion “trituradoras” de papel para eliminar los documentos sensibles y que no puedan ser sacados del cesto de basura y reconstruidos. Otra manera muy común es mantener la politica de “escritorio limpio” que significa no dejar papeles de encima del escritorio, impresora o fax, siendo la solución el mantener los cajones con llaves y recoger las impresiones y faxes apenas son impresos o recibidos. Otro consejo util es nunca dejar la computadora sin protector de pantalla cuando uno se aleja del escritorio (con la tecla “Windows” + “L” se bloquea automáticamente la estación).
Otra politica adecuada es mantener y revisar los “logs” de auditoria de los sistemas de información. Lo que se conoce tambien como “trazabilidad” de cada código de acceso. Esto nos sirve para saber quién está entrando a que carpetas o revisando que tipo de información. Existen soluciones en el mercado que permiten “monitorear” los logs de auditoría en tiempo real y detectar comportamientos “sospechosos” como por ejemplo conexiones a la base de datos en un horario no permitido o muchos intentos fallidos de acceso a determinada informacion. Puede sonar un poco exagerado o paranoico tener que hacer las veces de “gran hermano” al estilo Orson Wells, pero nos ha tocado una epoca muy dificil en la cual la disponibilidad de información puede hacer pecar hasta al mas justo.
PELIGROS EXTERNOS
Finalmente, el directivo de Kunak Consulting señala que la seguridad de una empresa no es tan sólo una responsabilidad del área de informática, sino más bien una actitud de toda la organización, donde por ejemplo la secretaría podría accidentalmente brindar acceso a la base de datos de correos electrónicos con el simple hecho de responder una de estas decenas de cadenas que recibe diariamente y que solicitan que lo reenvíe a todos sus contactos, el riesgo de divulgación exponencial es inimaginable.
En este sentido, Velando asegura que muchas empresas piensan que al comprar un “firewall” ya estan asegurando su red. A veces las empresas gastan miles de dolares en hardware y software para dispositivos de seguridad en su red, pero se olvidan de lo más importante, que son las personas que trabajan en la empresa. Es muy necesario tener en cuenta planes de concientización para los usuarios que permitan difundir las buenas prácticas de seguridad informática y seguridad de información. Esta inversión es menor a comprar hardware y software pero representa muchos réditos a la hora de asegurar la información.