Hace unas semanas, al entrevistar a un usuario durante la realización de una auditoría, le preguntamos si poseía portátil corporativo y lo llevaba a casa consigo. Efectivamente, como suele suceder en cargos de cierta importancia, nos confirmó que así era, pero que además, él mismo realizaba las copias con una grabadora de DVD de su casa y que dichos soportes los guardaba en su domicilio. Como anécdota, al darse —sólo parcialmente— cuenta del problema, se apresuró a decirnos que por supuesto, su mujer y él eran una misma unidad.

Entrar en el tema del portátil no es la intención de esta entrada, ya que podríamos empezar y no parar; se puede escribir un libro con las no conformidades y problemas a los que puede dar lugar, así que lo dejaremos para otro día. En su lugar, y de manera breve ya que muchos de ustedes estarán ya pensando (como mínimo) en el puente (para algunos) que viene, quería hablar de esas copias en DVD que esta persona almacena en su casa —probablemente con la mejor voluntad del mundo— estrictamente desde el punto de vista del RMS. Y digo esto porque a fin de cuentas, almacenar copias de información corporativa en casa de uno puede ser una actividad poco recomendable en unos casos (la mayoría) y justificada en otros, pero me aventuro a afirmar que por lo general no supone una infracción de ninguna reglamentación legal. Almacenar datos de carácter personal de los que la empresa es responsable, en la propia vivienda, eso sí lo es.

Y lo cierto es que es más habitual de lo que parece que un directivo, director de departamento o persona de cierta responsabilidad de la empresa decida hacer y —sobre todo— almacenar las copias en su propia casa, mediante un disco duro portátil, CDs, DVDs, llaves USB o, peor aún si cabe, en su propio equipo personal, al que pueden tener acceso terceras personas o que puede estar conectado a una línea ADSL privada de dudosa seguridad. Esto puede ser debido a una mala política de copias de seguridad por parte de TI, a una falta de confianza justificada o injustificada en el personal técnico, a un exceso de celo sobre los —incorrectamente considerados— datos propios, o a cualquier otra razón; en cualquier caso, insisto, desde el punto de vista del RMS, ninguna de estas causas es una razón justificadora, aunque muchas veces sea comprensible. Como comprenderán, en el caso particular que les mencionaba al principio, analizar los artículos que inciden en el registro de entrada/salida de soportes, o la necesidad de que la salida de éstos fuera de los locales en los que esté ubicado el fichero deba ser autorizada por el responsable del fichero, resulta un poco kafkiano desde el momento en el que tales soportes no salen, sino que se crean directamente fuera de las ubicaciones inventariadas, pero imagino que adivinan por dónde voy.

Es decir, si no quiere usted tener que inventariar su comedor o despacho en el Documento de Seguridad como zona de acceso restringido, no quiere tener que llevar un registro de entrada a su casa (sus amigos van a mirarle muy raro), o no quiere llevar a los auditores a su casa —imagine la cara de su pareja y sus hijos— para que examinen las medidas de seguridad, no guarde copias de seguridad en su casa. Si no desea que su casa se convierta en una prolongación de su empresa, repito, no guarde copias de seguridad con datos de carácter personal en su casa. Su pareja se lo agradecerá —Manolo, ¿es necesario que la puerta del comedor sea acorazada y haya cámaras de seguridad en el recibidor?—, sus hijos se lo agradecerán —Daniel, ¿has vuelto a perder tu tarjeta identificativa? ¿Y esta chica que va contigo, ha firmado en el registro de entrada?—, y en caso de sufrir una inspección de la AEPD, su empresa se lo agradecerá.

Háganos caso, y pase un buen y largo fin de semana.

No se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Por una vez, no voy a entrar a analizar esta forma de hacer negocio como una crítica a la empresa, en este caso Facebook. Al fin y al cabo, desde un punto de vista estrictamente económico, son los organismos públicos los que deben regular —y limitar cuando sea necesario— la manipulación de este tipo de información por parte de empresas privadas, y son los usuarios los que tienen la libertad de cambiar si consideran que sus derechos se están vulnerando. En este caso, lo que me resulta particularmente curioso es que una compañía realize el desarrollo de un sistema que le supone probablemente muchos miles de dólares y cuyo mantenimiento es sin duda muy costoso económicamente (cuarenta millones de usuarios registrados aproximadamente, aunque es cierto que parte de ellos pueden permanecer inactivos), sin tener la garantía de que el modelo económico en el que van a basarse será aprobado tanto por las instituciones públicas que han de velar por la privacidad y los derechos de los ciudadanos, como por los usuarios que deben —o deberían— proteger su propia intimidad.

Resumiendo, ¿por qué confía tanto una empresa como esta en que su modelo de negocio seguirá adelante? ¿Es una apuesta segura o un farol? ¿Tan escasa es la autoridad de los poderes públicos, sobre todo en contextos internacionales (Internet)? Y, desde el punto de vista de los afectados, ¿tan poca importancia dan los usuarios a sus datos personales?

¿Alguien tiene respuestas?

Reunión en cliente, departamento técnico, durante una auditoría:

—¿Existen especificaciones técnicas adjuntas a los contratos con proveedores?
—Depende del proveedor, pero sí, es habitual.
—¿Y qué se hace con los contratos que es necesario destruir?
—Los llevamos a la destructora de papel que tiene Administración.
—¿Podría proporcionarnos una copia de algún contrato?
—Sí, un segundo… Vale, aquí en la papelera tengo uno para reciclar.

(10 segundos después…)

—Ehhmmm… Creo que no debería haber dicho eso de que es para reciclar… ¿no?

(Buen fin de semana a todos)

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Dos. La segunda medida es, como es natural, eliminar cualquier acceso a Internet. Los sistemas de webmail son, como todos sabemos, un potencial peligro, y aunque los cerremos en el cortafuegos, seguramente el empleado maligno encontrará alguna alternativa tal como el ftp, ssh, sites orientadas al almacenamiento de ficheros, etc. Este punto también carece de complejidad, como podrá comprobar: Deny ALL from ALL y voilà. En este caso, sí, admitimos que las quejas de usuarios pueden ser algo más enérgicas, sobre todo cuando el director financiero sea incapaz de realizar las transferencias de las nóminas por banca electrónica, o recursos humanos necesite mandar información mediante DELTA. No haga caso. Está en juego la información corporativa.

Tres. La tercera medida lógica en este proceso es cortar el correo electrónico. No hay en el entorno empresarial mayor peligro que el correo electrónico. Olvide que sirve para contactar con clientes, potenciales o futuros, o proveedores. Mucha gente utiliza este sistema para mandar información confidencial, así como datos de carácter personal a cuentas privadas, vaya usted a saber si a potencias asiáticas o la propia AEPD. Hágame caso: corte el grifo. No email, anymore.

Cuatro. La cuarta medida a aplicar es la eliminación de cualquier fax o teléfono. Esto requerirá confiscar los teléfonos móviles de todos sus empleados, sobre todo aquellos con cámara, particularmente peligrosas si dispone usted de planos o alguna cosa gráfica que copiar. No se olvide, ya que estamos, de las cámaras. Con esto conseguiremos aislar a nuestra empresa del exterior. No tenemos que preocuparnos por tanto de que la información salga por vía telemática, telefónica, electrónica, o cualquier otro medio. Estamos casi a salvo.

Cinco. La quinta medida es eliminar las impresoras, y el siguiente, imprescindible, es confiscar todo el material con el que se pueda escribir, y los potenciales soportes: lápices, bolígrafos, rotuladores, folios, libretas, etc. No sabemos si alguien puede querer copiar un diseño, una función, un procedimiento de calidad, su estructura de red, o el listado de nombres y apellidos de todos los empleados. Hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, esto implica que se ha de cortar radicalmente el correo postal, tanto de entrada como de salida.

Seis. La sexta y última medida que le proponemos es el cacheo exhaustivo de sus empleados tanto a la entrada como a la salida de la empresa por parte de personal de seguridad especializado. Recuerde que no sabemos qué maléfico plan tienen los empleados en la cabeza, y cualquier precaución es poca.

Estas son algunas de las medidas, pero por supuesto, no son todas. Como suele decirse, el demonio está en los detalles. Tenga en cuenta, por último, que cualquier empleado que deja la empresa puede llevarse información interna en su propia cabeza (sí, puede, es verdad). Por razones legales —que no éticas— no podemos aconsejarle que impida que sus trabajadores se jubilen, cambien de trabajo o se dediquen a la vida contemplativa. ¿Se acuerda lo que decía Gene Spafford? Es decir, que para evitar cualquier tipo de riesgos, la mejor y más eficaz medida para evitar la fuga de información es impedir que sus empleados tengan cualquier tipo de acceso a ésta: déjelos en casa. Ellos contentos, y usted, contento.

¡�?nimo!