¿Dónde fueron a parar tus datos?
Un funcionario de un departamento de policía desconecta las cámaras de seguridad del almacén y roba las cintas de seguridad, poniendo así en peligro los números de identidad y la información confidencial relativa a 80.000 policías; un destacado especialista de datos desenchufa un dispositivo de seguridad electrónica, dejando así desprotegida la información personal sobre más de 13.000 personas y haciendo que su empresa reciba una multa de 275.000 dólares de la US Federal Trade Commission. No estamos pintando escenarios posibles, sino citando un par de delitos y multas recientes que se añaden a la larga lista de filtraciones de datos sobre la que informa regularmente Privacy Rights Clearinghouse.
El encriptamiento es, desde hace mucho tiempo, parte fundamental de la seguridad electrónica; su función es convertir un texto normal en una serie de signos ilegibles (texto cifrado) para protegerlo de lectores y usuarios no autorizados. El receptor del texto encriptado utiliza una “clave” para volver a la forma original de texto plano.
“Las pérdidas y robos de ordenadores portátiles son la causa principal de filtraciones de datos”, dice Tim Matthews, director senior de marketing de producto de PGP Corporation, una compañía que ofrece toda una gama de tecnologías de protección de datos. “Es posible que esos aparatos robados contuvieran contraseñas y códigos de acceso a edificios, poniendo en peligro la seguridad física de edificios.”
Pero la codificación no es más que un simple estrato de todo un plan general de seguridad de datos, señala Ashley Richards, director de comunicaciones corporativas de Absolute Software. “No sirve para proteger a una organización de ese empleado que escribe su contraseña en un Post-It y lo pega a su portátil. El uso de soluciones de gestión y seguimiento informáticos puede ayudar a saber dónde está un ordenador y quién lo está usando, así como para estar al tanto de las actividades sospechosas que se realicen en él, como por ejemplo la instalación de software no autorizado.”
Se busca estrategia de encriptamiento
En sus informes más recientes, el Ponemon Institute – un centro de investigación de gestión de la privacidad – examina el uso de encriptamientos de datos a partir de encuestas realizadas entre directores comerciales y de departamentos de informática de cinco países. El 85 % de los participantes estadounidenses, el 80 % de los ingleses, el 69 % de los australianos, el 67 % de los franceses y el 53 % de los alemanes informaron de, como mínimo, una filtración en el último año (lógicamente muchas filtraciones no salen a la luz). En general, el equipo de investigación detectó una necesidad común y cada vez mayor de encriptamientos más sólidos; de hecho, casi todas las compañías habían puesto ya en marcha algún tipo de estrategia de codificación.
Aunque toda filtración de datos puede causar costes de todo tipo (pérdida de clientes, los costes del proceso de informar a los mismos y, cada vez con más frecuencia, la intervención de inspectores del gobierno con capacidad para imponer cuantiosas sanciones), estas organizaciones pagan una media de 1,7 millones de libras esterlinas (1,9 millones de euros) por cada filtración en el Reino Unido, y 6,6 millones de dólares USA (4,4 millones de euros) en Estados Unidos. Por tanto, una sola filtración puede ser un golpe considerable para el presupuesto de seguridad de una compañía.
Además de buscar protección frente a actividades delictivas normales, encuestados de muchos países también expresaron su preocupación por el “riesgo de perder valiosos datos sobre clientes debido a la marcha de empleados disgustados, dada la actual coyuntura económica.” A lo cual añade Matthews, de PGP: “Así como los profesionales de la seguridad instalan cerraduras y alarmas para evitar robos, deberían plantearse también el uso de “cerraduras de datos,” como puede ser el encriptamiento, para aquellos contenidos de información delicados que salen de la oficina todos los días en las carpetas o los bolsillos de sus empleados.”
“También está adquiriendo cada vez más importancia comprender cómo protegen los mismos datos distintos socios comerciales”, prosigue Matthews, y cita las estadísticas de Ponemon, según las cuales más del 40 % de las filtraciones de datos son causados por un tercero o por un proveedor; por ejemplo, el responsable de las nóminas, o una compañía de gestión de beneficios. “Aún cuando la culpa sea de un tercero, la responsabilidad de los costes de la filtración puede recaer sobre la propia compañía, acarreándole considerables pérdidas.”
Protegiendo información móvil
Según los estudios de Ponemon, también está aumentando la necesidad de codificar datos en los diversos aparatos móviles que usan los empleados. Acerca de nuevas tecnologías como los “smartphones” o la computación en nube, Matthews observa: “Ambas amplían el ámbito de la seguridad informática al aumentar el grado potencial de exposición de los datos. Los usuarios del “smartphone” envían y tienen acceso a documentos importantes en un abrir y cerrar de ojos, lo cual resulta muy cómodo, pero estos aparatos se pierden o son robados aún con más facilidad que los portátiles. Y ahora la seguridad informática no sólo debe ocuparse de sus propios servidores y de los aparatos que usan sus clientes; la computación en nube extiende además los datos a proveedores de nube que utilizan aplicaciones y almacenan datos en sitios localizados por todo el planeta. La codificación garantiza que los datos estén siempre encriptados, al margen de dónde se encuentren. Los proveedores de nube son un buen ejemplo de organizaciones con grandes concentraciones de datos confidenciales en las cuales se requiere una combinación de seguridad física para el acceso y un fuerte encriptamiento para la protección de datos.”
Y en lo que respecta a encriptar datos que están siendo utilizados o están en reposo, o en movimiento – ya sea en un lugar físico o a distancia -, muchos países se están decantando ya por el uso de plataformas. Entre las ventajas que se enumeran como motivos para optar por este enfoque (frente a métodos que combinan diversos softwares de tipo Silo, u otras opciones de hardware) están su bajo coste en el mercado, su capacidad de llevar a cabo una gestión central de todas las aplicaciones de encriptamiento – eliminando tareas administrativas innecesarias – y la capacidad de incorporar futuras aplicaciones.
Richards, de Absolute Software, nos recuerda que sigue siendo importante considerar el factor humano a la hora de analizar el cómo y el porqué de las filtraciones de datos. “Los responsables de seguridad física deben seguir formando a sus empleados para que sepan reconocer qué situaciones, motivaciones y conductas pueden llevar a personas no autorizadas a obtener acceso a un lugar determinado con el propósito de robar o acceder a un ordenador.”