¿Se puede evitar la fuga de información en la empresa?
La información es poder. En el mundo empresarial en una sociedad como la actual, «del conocimiento», sigue plenamente vigente esta máxima acuñada hace ya tiempo. Las empresas están constantemente generando datos e información de todo tipo, como consecuencia de su actividad diaria. Mantenerlos bajo control es algo fundamental, pero ¿Se pueden evitar al 100% las fugas de información en la empresa?
Si acudimos a un proveedor de soluciones de seguridad, lo más seguro es que diga que si compramos su producto sí se puede. Si leemos la LOPD, dice que la empresa debe hacerlo y no es ninguna broma, estamos obligados a ello. Pero la casuística tan amplia provoca que pensar que estamos protegidos al 100% es algo alejado de la realidad. Veamos por qué.
La amenaza externa
Con la llegada de internet, las amenazas pueden venir desde el exterior. No se necesita poner un pie en las instalaciones de la empresa para que alguien pueda acceder a información propiedad de ésta. Se necesita una protección del perímetro de la red informática, así como un control de los accesos de sus usuarios ¿Quién hace esto? Un experto en sistemas. Se le contrata para que monte la red y su posterior mantenimiento periódico.
Las amenazas en el exterior también aparecen cuando alguien no autorizado se hace con un equipo informático de la empresa. Situaciones de extravío o robo de un ordenador portátil, un teléfono móvil o un disco duro usb o un uso indebido de los mismos en el domicilio de algún empleado, pueden poner a disposición de gente no deseada información protegida. La solución pasa por la encriptación de los datos en equipos portátiles y la educación de los usuarios a la hora de usarlos fuera de la red corporativa.
La amenaza interna
También existe la amenaza interna en la empresa. Cualquier empleado puede convertirse en un punto de fuga de información. Lo único que necesita es acceso a la misma, ya que para extraerla hoy en día es muy fácil a través de dispositivos portátiles (pendrives, discos duros USB,…) o incluso directamente a un servidor vía internet.
El año pasado, en una encuesta realizada entre ex-empleados de diferentes compañías, más de la mitad admitían haberse llevado datos como fichas de clientes, agendas, contactos de proveedores,…. ¿Nos habrá ocurrido esto a nosotros?
Lo más lógico es aplicar una política de gestión de usuarios, cada uno con sus permisos correspondientes para acceder a determinadas aplicaciones. También es preciso definir en los procesos de baja de personal algún procedimiento que impida, o al menos dificulte, que una persona pueda sacar información fuera de las fronteras de la empresa.
Otra vía interna son los despistes. Instalar una aplicación que deje abierta una puerta trasera o enviar un correo electrónico a múltiples destinatarios incluyendo las direcciones en un campo diferente al de «copia oculta» (BCC, CCO), es decir, dejándolas al descubierto para cualquiera que lo reciba. Esta práctica ha sido recientemente sancionada por la AEPD. Se trata errores que pueden salir caros, y no sólo por la sanción administrativa. La solución pasa por controlar lo que instala cada usuario en su equipo y, en el caso del correo, usar una herramienta profesional de marketing vía email, en lugar del clásico cliente de correo electrónico.
Otra amenaza interna muy peligrosa es la del acceso a los ficheros de copia de seguridad. En este soporte, se encuentran todos los datos del trabajo diario de la empresa y del acumulado durante años. Si caen en malas manos, todo cuanto está allí almacenado es susceptible de ser volcado a sistemas de terceros y quedar a disposición de cualquiera. Encriptar la información con un sistema fuerte y mantener fuera del alcance de cualquier persona no autorizada cualquier soporte o acceso remoto a sistemas de backup, es algo fundamental.
Conclusiones
Nunca estaremos protegidos al 100% contra un robo de información. Hay amenazas internas y externas que están presentes en todo momento y pueden provocar una fuga hacia terceros. Establecer procedimientos y políticas contra este tipo de problema es algo que cada empresa debería poner en marcha cuanto antes. Partiendo de una identificación de las posibles fuentes de información, debería hacerse un plan de contingencia para protegerlas en los diferentes casos que de riesgo, teniendo en cuenta la probabilidad de que se produzca el suceso.
Más vale prevenir que curar. Si hablamos de información, poco podremos hacer si en algún momento se escapa de nuestro control, ya que hoy en día, copiar bits y transmitirlos por la red es cuestión de segundos (o menos) ¿Conocéis algún caso de fuga de información en pequeños negocios?