Gertrudis Alarcón
Directora General de GAT Intelligence.
El gobierno francés ha pedido la investigación, por parte del departamento de inteligencia del país, del supuesto caso de espionaje industrial llevado a cabo por tres directivos de la empresa Renault que, aparentemente, se han servido de sus posiciones estratégicas para filtrar información relevante sobre su vehículo eléctrico a empresas chinas. La escudería Ferrari, General Motors o Volkswagen, ya habían sido víctimas de fraudes similares en el pasado y, hace tan solo unas semanas, Bank of America Corp saltaba a la prensa después de que sus acciones cedieran un 3 por ciento tras los rumores de convertirse en el centro de la próxima revelación de documentos de WikiLeaks. Si este fenómeno puede producirse en el mayor banco por activos de Estados Unidos, o en una gran multinacional como Renault, ¿cómo no va a afectar al resto de empresas y organizaciones?
La fuga de información se llevaba a cabo debido a errores tan simples como no disponer de trituradoras de papeles, con lo que los borradores y listados de los reportes mensuales de la compañía quedaban al alcance de cualquiera en la bolsa de reciclado. Son prácticas comunes en las empresas que los empleados y directivos copien archivos en sus notebook o los bajen a pen-drives o los envíen por e-mail… La lista de posibilidades por las que la información puede ser filtrada es interminable. En ocasiones, los passwords personales son “compartidos” o no existen controles en los servidores para proteger determinada información o los puertos USB no están bloqueados, con lo que el panorama va tornando más y más complicado.
Los viajes, las presentaciones fuera de las oficinas o el llamado tele-trabajo, sin una política adecuada de seguridad, hace imposible proteger a la empresa de este tipo de fraude y discernir si un empleado necesita información para trabajar desde su casa o si pretende hacer un uso desleal de la misma. El caso es que, una vez producida la fuga, el daño suele tener un gran impacto y sus consecuencias suelen ser difíciles y costosas de reparar.
Pero, ¿qué métodos existen para protegerse de este tipo de fraudes? Analizar el sistema integral de seguridad y protección de la información de la empresa es un paso previo fundamental. Debe además verificarse que es el adecuado, es decir, que responde con medidas de protección a los distintos riesgos propios de la empresa, su negocio y su contexto. Es fundamental que, aunque parezca obvio, el sistema se aplique, y que se aplique correctamente.
Una vez realizado el análisis de la estructura de seguridad de la información, se abren dos líneas de trabajo. Por un lado, la humana, que consiste en el análisis del personal con acceso a información sensible (quiénes son, qué los motiva, sus posibles necesidades de dinero extra, si sus ingresos se corresponden con su nivel de vida, si tienen problemas personales…). Los sistemas son mucho más fáciles de vulnerar si alguien desde dentro abre una puerta o dice cómo se puede conseguir la llave, dónde están las trampas y, sobre todo, cuál es el premio que se puede obtener dentro.
La segunda línea de trabajo es el sistema informático. La informática plantea dos problemas básicos, ambos igual de importantes y peligrosos: el mantenimiento y la desaparición de información. Por un lado, los servidores son cada día más seguros y son capaces de proteger la información y multiplicar las copias y los accesos. Sin embargo, existe determinado tipo de información, de carácter sensible, que sería conveniente poder eliminar de forma inmediata una vez recibida. Y no basta con tomar medidas dentro de la empresa. Existe cierta información, generada por agentes externos, como proveedores, que también necesita ser protegida: fechas de cobro y retiros de pagos, la cantidad y tipo de mercadería que se trasladará y a dónde, etc.
Proteger la información de las empresas e instituciones permite mantener el prestigio de marca y evita el riesgo de rumores y temores generados en torno a la incertidumbre sobre su gestión pero, sobre todo, supone evitar mayores costos y daños irreparables en la cuenta de resultados.