¿Seguridad o portabilidad?

Hoy en día, los dispositivos móviles se han convertido en un medio tremendamente eficaz para acceder a la información desde cualquier lugar donde podamos necesitarla. Para sus usuarios, la facilidad de acceso independientemente del lugar donde nos encontremos, con el fin de aportar y utilizar la información en seminarios, reuniones, discusiones y negociaciones, para simplemente realizar trabajos durante tiempos muertos en viajes o durante periodos de ausencia de la oficina por otros motivos, así como la posibilidad de tener la oficina en casa, son simplemente herramientas imprescindibles cuando se realiza un trabajo que requiere permanente atención y disponibilidad personal.

Desde el punto de vista del empresario, la tecnología móvil es un medio de facilitar a sus empleados acceso a los datos de la compañía, tanto de negocio como de producto, que potencia de un modo notable las capacidades de negociación y decisión de aquellos. Sin embargo, es muy fácil ver las ventajas, pero resulta menos frecuente pensar en los inconvenientes y riesgos que tal tecnología aporta.

Consideren un Centro de Proceso de Datos. El empresario sabe cuán alto es el presupuesto que le dedica, y considera que es una inversión y un gasto cuyos retornos no siempre están claros o son fácilmente evaluables. No obstante, sí que suele ser consciente de que la seguridad de sus datos es algo como mínimo importante y que el acceso a esta información debe ser controlado y justificado: datos de negocio, de diseño de productos, de estrategias de mercado y desarrollo de la compañía son críticos para la supervivencia de ésta y por otra parte, cada día más, también la protección de los datos personales de sus empleados y colaboradores resulta ser importante, si no se quiere tener un incidente público y encontrarse frente a una fuerte multa y/o un problema de reputación.

Supongamos por tanto que la compañía en cuestión ha invertido un gran presupuesto en almacenamiento de datos, teniendo los sistemas protegidos con tecnologías RAID en los discos duros, haciendo “mirroring” sobre un sistema paralelo con procesador y copia de datos en línea, para dar continuidad a los procesos en caso de recuperación de desastres. Todo esto se encuentra en dos salas separadas y estancas, protegidas con medios de detección y extinción de incendios, protección contra invasión de aguas y gases, paredes y puertas resistentes al fuego, alarmas de intrusión lógica o física, control de accesos, etc. Además hay un sistema de cajas fuertes que guardan las copias de los datos realizadas diariamente. O sea, una fortuna cada mes.

Pues bien, toda esta tecnología y ese gasto mensual, además de la dedicación y el cuidado de un equipo de profesionales especializados en su explotación y control, se ven anulados de repente cuando un empleado hace una copia de datos a su sistema portátil —cuya necesidad no siempre está justificada—, sistema que muy frecuentemente carece de los medios adecuados de protección de la información copiada, creando así un nuevo riesgo en un ambiente externo a la seguridad de sistemas descrita. Esto tendrá como consecuencia la necesidad de un nuevo gasto en seguridad adicional que, por resultar engorrosa para el usuario no especializado, con mucha frecuencia acaba no utilizándose: contraseñas de arranque en BIOS, llaves con certificados digitales, controles biométricos, etc.

A lo largo de las auditorias se detectan de manera reiterada los mismos problemas en diferentes empresas, que aportan riesgos importantes e innecesarios a la información, y ponen en evidencia que la seguridad centralizada no es suficiente.

Por ejemplo. El ciclo de solicitud de un usuario para el acceso a la información suele incluir las firmas y autorizaciones necesarias para otorgar dicho acceso; no siempre se incluyen las funciones que un usuario puede ejecutar, pero al menos si suele incluirse a que bases de datos va a acceder. Una vez ganado el acceso, resulta fácil conseguir volcar una copia de los datos, bien por falta de impedimentos (controles técnicos u organizativos), bien por autorización “tácita” del administrador, que se dice a sí mismo que si tiene acceso autorizado, entonces es que debe poder —estar autorizado a— copiar los datos (tremendo error). En otros casos, el volcado está autorizado debidamente, pero una vez los datos están en los sistemas personales, copiar estos o “sincronizarlos” con una PDA o similar, que el administrador ni siquiera sabe que existe, es bastante más fácil. Con ello, alguien que trabaja con un acceso autorizado, acaba teniendo una copia propia de la información.

Estirando un poco del hilo, muy posiblemente la información acabará llegando a un dispositivo cuyo usuario no sabe que es eso del cifrado, ni le agrada la contraseña tan molesta para arrancar el sistema, ni tampoco es consciente de la cantidad de gente que trabaja vendiendo datos robados, o dicho de una forma más suave, procedentes “de fuentes desconocidas”. A todo esto, el responsable de los sistemas sin enterarse del problema y el empresario creyendo que tan alta factura mensual le asegura que sus datos están protegidos en casa.

Pues bien, aportando datos muy recientes se puede ver cuál es la realidad de esto que parece una exageración:

  • El Canal Historia (de pago) el domingo 20 de julio por la tarde, emite un documental sobre el espionaje. Sorprende saber que una compañía alemana de diseño de aerogeneradores, cuya eficiencia estaba muy por encima de sus competidores, fue denunciada por derechos de patentes cuando intentó comercializarlos en Estados Unidos. Había una empresa que tenía los mismos diseños y tecnología patentados allí. La investigación concluyó en que un grupo de expertos en espionaje industrial, ayudados por algunos empleados, habían copiado diseños y materiales y se habían adelantado en su fabricación y patente en USA. El resultado es que la compañía alemana tuvo que esperar diez años para entrar en el mercado americano y por supuesto hacer un expediente de regulación de empleo.
  • Última hora | EL PAIS | Internacional – 20-02-2008
    La policía brasileña investiga un posible espionaje industrial en Petrobras
    EFE
    «… en Río de Janeiro, Valdinho Jacinto Caetano, afirmó ayer en conferencia de prensa que los ladrones se apoderaron de uno de los cinco ordenadores portátiles que había en el contenedor y de las placas de memoria de otros dos.

    “En un robo común, la persona se lleva el ordenador entero para usarlo … lo que indica que sería espionaje industrial”, agregó. Pese a que ni la policía ni Petrobras han confirmado el contenido de las placas de memoria robadas, la prensa local afirmó que contenían datos geológicos de la cuenca marina de Santos, donde la petrolera descubrió un yacimiento de hidrocarburos …»

  • Última hora | EL PAIS | Internet – 18-07-2008
    Los portátiles robados son delatores
    EFE
    « Cientos de miles de ordenadores portátiles desaparecen cada año en EE UU, bien por robo o descuido. Sólo en los aeropuertos del país se pierden cada semana unos 10.000 aparatos, generalmente … en un estudio oficial.»
  • En uno de los periódicos de este fin de semana, las fuerzas aéreas americanas reconocen que en los últimos años les han robado algunos miles de PC’s (solo?).

Y así sucesivamente….. ¿Entonces, qué hacer? Las reglas no son difíciles de explicar pero son bastante difíciles de implementar:

  • Dar acceso a datos en lugar de dar copias de datos.
  • Minimizar accesos y copias.
  • Cuando las copias sean imprescindibles, resumir y seleccionar la información necesaria. Solicitar autorización para la copia y establecer un periodo tras el cual se destruya.
  • Si la información copiada es confidencial, cifrarla y proteger su acceso.
  • TODOS los dispositivos portátiles deberían tener una contraseña de arranque.
  • TODOS los programas de comunicación con otros dispositivos deberían estar protegidos con contraseñas.
  • La seguridad física de los dispositivos debería ser un motivo de incentivación, y la pérdida o robo por descuido un motivo de acción disciplinaria.
  • NUNCA un dispositivo portátil para uso profesional debe estar accesible a personas distintas del empleado (incluyendo la familia los amiguetes, etc).
  • Mantener un inventario de dispositivos autorizados y sus usuarios.
  • Hacer auditorías periódicas del contenido de los sistemas, en el momento que se conectan a la red.

Hay muchas mas reglas, pero la más básica es que la información solo debe almacenarse donde su seguridad esté garantizada. Y eso es todo por ahora. Seguiré dando el tostón.

Comments

  1. Felicidades por el contenido. Has conseguido plantear de forma sencilla la importancia del tema y las alternativas que existen. Lo más complicado del problema es que precisamente los “peores” usuarios de estos dispositivos móviles son el personal de más nivel de la empresa. Son los directores y ejecutivos los que más necesidades tienen de movilidad y precisamente ellos los que manejan la información más sensible a los que es más dificil concienciar. Curiosamente, sus conocimientos empresariales suelen ser inversamente proporcionales a los conocimientos en informática y cuesta bastante que entiendan que las medidas de seguridad no son un obstáculo sino una necesidad. Algo relacionado con el teletrabajo plantee también yo en el post http://seguridad-de-la-informacion.blogspot.com/2007/11/riesgos-del-teletrabajo.html

  2. Excelente! Muy bueno para iniciar una charla de concientizacion!!!