El grueso de los activos de una empresa, lo que realmente le da valor, son los elementos intangibles: Contratos, carteras de clientes, patentes, marcas, fórmulas y un largo etc. que se esconde tras los sistemas de gestión empresarial – en aquellas organizaciones más avanzadas – o en hojas de cálculo – en la mayor parte de las pymes -. Éstos, a su vez y dado el ‘boom’ de la movilidad, cada vez con más frecuencia se encuentran duplicados en diversos dispositivos: Portátiles, PDAs, smartphones, etc., por lo que el perímetro de seguridad establecido en las compañías va en aumento cada día.
Hace apenas unos meses, un fabricante de PCs encargó a la consultora Ponemon Institute la realización de un estudio para medir la cantidad de computadoras portátiles que se extravían o simplemente, se dejan olvidados en los aeropuertos. El estudio se llevó a cabo en 106 terminales de aeropuertos de 46 países distintos. Los resultados son bastante alarmantes: Se pierden más de 12,000 portátiles por semana y lo que es más sorprendente, entre el 65 y 70 por ciento nunca son reclamados. Pero lo que realmente importa de estas pérdidas no es el dispositivo en sí, sino la información que contenía. De hecho, si profundizamos en los resultados del estudio, el 53% de los encuestados de la clase de negocios admitió que sus equipos contenían información empresarial o sensible, y el 65% de ese total aseguró no contar con medidas para proteger esa información.
Ahora, en tiempos de crisis como el que estamos viviendo actualmente, las empresas tienen que saber medir mejor que nunca el valor de su información y el precio que están dispuestas a pagar por no protegerla adecuadamente. Permitir fugas de información o dejar entrar por un puerto a algún hacker malintencionado puede tener en estos tiempos de recesión consecuencias no sólo más graves sino, lo que es peor, más difícilmente remontables…o, al menos, mucho más caras de remontar. Sobre todo ahora cuando se producen despidos y reajustes de plantillas y el número de empleados descontentos o de agentes sociales alterados puede llegar a incrementar el número de ataques denominados ‘de frustración’ o venganza por los afectados por estos reajustes.
Fugas
Si atendemos a los estudios de la consultora independiente IDC, la principal causa de la fuga de información es el correo electrónico corporativo pero inmediatamente después, se encuentra la pérdida o robo de las computadoras portátiles. En quinta y sexta posición se hallan los extravíos de celulares y smartphones, y de pendrives e iPods –no olvidemos su potencial de almacenamiento y lo atractivos que son para los ladrones-. Se trata de información que constituye en sí misma el ADN de la empresa y en tiempos en los que clonar es relativamente sencillo, ¿Por qué no se cuidan digitalmente las empresas? El esfuerzo desde luego, no es insignificante puesto que la información que está en juego puede suponer la clave del éxito comercial, el factor diferencial que en manos de la competencia puede conducir a la ruina. Y cuanto menor es el tamaño de la empresa, más expuesta se encuentra.
Ponemon Institute estima que el costo asociado a cada registro que se extravía y hay que recuperar es de unos 200 dólares. La capacidad de almacenamiento de una computadora portátil supera de sobra los 100GB, por lo que el riesgo crece exponencialmente.
Medidas a adoptar
Una de las primeras medidas a adoptar pasa por la encriptación, tanto de los discos como de volúmenes, directorios y archivos. La tecnología existente en materia de autenticación, encriptación y privilegios de usuarios está tan avanzada que proporciona bastantes garantías de seguridad para nuestros activos, siempre y cuando se realicen con el rigor necesario. Y por rigor entendemos la aplicación de este encriptado no sólo a los discos duros de las computadoras, sino también de la información contenida en memorias USB, smartphones o PDAs.
Adicionalmente, el control de los accesos es otro de los frentes en los que las organizaciones no deben relajarse, además de un modo bidireccional: Por un lado, conocer con cuánta gente y de qué modo se ha compartido un determinado fichero que se ha portado en un dispositivo específico; y, por otro, qué nueva información se integra en la intranet corporativa. Sólo de esta manera es posible evitar incidentes como los ocurridos en la alcaldía de Londres, que tras padecer la infección por Conficker-D vía un pendrive USB sufrió unas pérdidas de varios miles de libras.
Actualmente, la protección de la información, del ADN de las empresas, ya no supone un proceso tan complejo como antaño. Y es que el problema no es la encriptación en sí, sino la gestión de todo el conjunto de dispositivos informáticos con que cuenta una empresa; parque que día a día se incrementa significativamente.
Vicente Amozurrutia, gerente del norte de Latinoamérica de Check Point