Los casos del soldado
Bradley Manning, quien realizó la mayor filtración de documentos militares secretos en la historia de los Estados Unidos, y de
Edward Snowden,
quien reveló cómo la Casa Blanca y sus organismos espían las
comunicaciones en Internet, constituyen los ejemplos más famosos de fuga
de
información de una organización a través de soportes tecnológicos.
Mientras Manning, condenado el 21 de agosto a 35 años de prisión,
realizó la filtración a través de discos compactos, Snowden, asilado
político en Rusia, filtró documentos sobre las prácticas de espionaje
del Gobierno empleando unidades de memoria USB ("pendrives").
Sin embargo, las principales fugas de
información en las organizaciones
gubernamentales, empresarias y educativas en la Argentina no son por
acción de un empleado o ejecutivo infiel o por el ataque de un
delincuente informático sino por "desconocimiento y negligencia" de los
propios directivos y dependientes, según
aseguró a iProfesional Cristian Borghello, Director de Segu-Info.
Este especialista advirtió que en las empresas impera “un nivel de
inconsciencia alto sobre la
información que manejan y sobre su
jerarquización y criticidad”.
"No saben lo que tienen y, por lo tanto, no saben lo que hay que
proteger, y se desconoce también la información privada de sus usuarios,
en especial en cuanto a su salud y sus finanzas", alertó.
"Gran parte se fuga por los empleados, pero sin que ellos se den
cuenta o lo sepan. Por ejemplo, el correo electrónico sin cifrar, o el
envío de un correo a una dirección equivocada o el almacenamiento de
archivos en servicios basados en la nube, como Dropbox", explicó.
Luego de las fugas por negligencia o desconocimiento, siguen las que se producen por
"ataques internos",
como se define en la jerga, de empleados infieles, que actúan motivados
por diferentes intereses: represalia, venganza, conciencia cívica, robo
de
información y otros motivos económicos.
Al final, y en mucha menor medida que las dos anteriores, se encuentran los delincuentes informáticos.
¿Por qué se difunde entonces tanto la idea del ataque externo a la
organización, como el que sucedió este mes -según denunció el Gobierno
nacional- a la cuenta de Twitter de la Casa Rosada? “Muchas
organizaciones atacadas niegan el incidente y cuando lo admiten,
prefieren adjudicarlo a alguien externo”, dijo Borghello.
MediosLa información crítica de una empresa puede salir por varios
medios. Además de los discos compactos y DVD y "pendrives" empleados por
Manning y Snowden, existen otras vías.
Por ejemplo, los e-mails que se envían los empleados a cuentas propias
de correo, con archivos adjuntos valiosos como planillas de cálculo,
planes de negocio, prototipos, etc.
Ariel Bruch y Rodolfo Dietz, de la firma de seguridad informática
canadiense Messaging Architecs, pusieron la mira en el correo
electrónico, la aplicación más utilizada en Internet, basada desde hace
40 años en el mismo protocolo de la red, por su facilidad y
universalidad para implementar, además de soportar archivos adjuntos.
Para estos dos ejecutivos, el "e-mail está roto" por el "crecimiento de
almacenamiento sin control", con una “gestión de infraestructura
desordenada” y un aumento en los robos y la preocupación sobre su
privacidad.
Bruch y Dietz señalaron, por ejemplo, que el 40 por ciento de los archivos adjuntos en un e-mail poseen virus.
El otro principal medio, además del e-mail, es el almacenamiento de
archivos en la nube, en servicios como Dropbox o el desaparecido
Megaupload.
Sin embargo, el perímetro de la compañía no está dado sólo por sus
paredes y puertas, sino que también cuentan los teléfonos móviles
inteligentes y las tabletas que trabajan e interactúan con los sistemas
de la empresa desde cualquier punto del mundo, conectados a Internet.
Esta extensión de la frontera se amplía por la tendencia de "traiga su
propio dispositivo" (BYOD, sigla en inglés), donde los ejecutivos y
empleados reclaman utilizar sus propios “smartphones” o tabletas con los
sistemas de la empresa.
"No se usan contraseñas ni se cifra la información" que está en los teléfonos y tabletas, advirtió Borghello.
Dan Molina, director para Mercados Emergentes de la empresa de
seguridad informática Kaspersky, apuntó ante iProfesional que el foco
también debe ponerse en los puntos de acceso a la nube y en los
dispositivos móviles, cuyos usuarios "aún carecen de una cultura de la
protección de los datos", lo cual es aprovechado por los delincuentes
informáticos, que aumentaron en el último tiempo en siete veces la
cantidad de virus que apuntan al sistema operativo Android.
SolucionesBorghello propuso los siguientes pasos para reparar y cerrar los agujeros por donde se puede fugar la información.
Primero, establecer una política de gestión de la misma en la organización, que incluya su clasificación y jerarquización.
Segundo, definir una política de protección, viendo por dónde circula y
sale y protegiendo esos archivos. Aquí se incluye el resguardo del
almacenamiento y el transporte de esos datos.
En el mercado local se lanzaron en los últimos meses diferentes software que actúan en estos dos pasos descriptos por Borghello.