Sorprenden los números cuando hablamos de casos de salidas no autorizadas de información crítica que se produce en el ámbito laboral, en el que tanto las grandes corporaciones, como las medianas o pequeñas empresas no escapan de las estadísticas.
Por Mariana Berrondo(*) – Exclusivo para Comercio y Justicia
La ausencia o implementación errónea de controles administrativos, técnicos, físicos o lógicos aplicados a procesos, personas y tecnología; la mala intención de terceros ajenos a la compañía o empleados disconformes; el error humano; entre otros, muestran sucesos conocidos a nivel mundial como las publicaciones de Wikileaks o Anonymous, por las que se vieron afectados datos de millones de cuentas, claves, tarjetas de crédito documentos gubernamentales de distintos países, etcétera.
Todo sumado a un sinfín de historias de empresas que no salen a la luz, pero que, como en un confesionario o sillón terapéutico, escuchamos a diario desde nuestro asiento de consultores. Uno de los mayores temores de las organizaciones se puede convertir en una verdadera pesadilla cuando se descubre divulgado el plan estratégico de ventas o el proyecto de marketing para el próximo año, el listado de sueldos de los gerentes y directivos, la base de datos de tarjetas de créditos o de clientes vendida al mejor postor de la competencia, información ultra sensible publicada en Internet.
Es entonces que las víctimas de este tipo de delitos pueden descubrirse en primera fila de un tour del que no compraron pasaje, pero como en una montaña rusa “los pasea” por situaciones como la pérdida de reputación e imagen corporativa, disminución de credibilidad y confianza de los clientes, importantísimas (si no millonarias) pérdidas económico-financieras, al ser multados por falta de cumplimientos contractuales o al tener que enfrentar acciones legales de terceros afectados, u otros daños colaterales.
Esto nos lleva a la siguiente conclusión: “la información es un activo” que tiene un “valor” asignado y muchos CEO no son realmente conscientes de esta situación, hasta que pierden el preciado aspecto de “Confidencialidad”.
Ante la inminente realidad que aqueja, la pregunta que llega a la mente es: ¿Y ahora qué hacemos?, ¿hacia dónde vamos?, ¿cómo seguimos?.
El panorama a veces puede ser un tanto desolador. La sensación de desorientación e incertidumbre deja a media empresa aturdida, que quiere reiniciar el rumbo en medio de una polvareda que dejó la explosión.
Acciones como buscar y reconocer la verdadera causa que llevó a la circunstancia no deseada, efectuar acciones correctivas alineadas a normas y estándares para evitar el riesgo de repetición de los eventos, y trabajar sobre lecciones aprendidas, son tópicos que deberían estar en la agenda.
Otro aspecto relevante puede ser el aporte de una auditoría externa, para obtener reportes que no carezcan de objetividad. Es real que no se puede garantizar el estado 100% seguro y, en algún punto, la organización no puede controlar todo, pero si es posible implementar medidas tanto técnicas como relacionadas a aspectos humanos que permitan desde Seguridad de la Información en coordinación con otras áreas, disminuir la brecha que los deja vulnerables y “expuestos”.
En nuestro próximo artículo continuaremos abordando esta temática y brindaremos algunas pautas que serán de utilidad para tener en cuenta y reflexionar que, prevenir implementando controles es mucho mejor que salir corriendo a curar.
(*) Especialista de Auditoría, Seguridad y Peritaje Informático. Arcba it segurity consulting