¿A quién no le ha jugado alguna vez una mala pasada el “autocompletado” de direcciones de e-mail de Outlook? Preparas un email con información crítica o no, se autocompleta una dirección de destinatario equivocada, das a “Enviar” y acto seguido te llevas las manos a la cabeza porque has incluido un destinatario incorrecto.
Esto es lo que le ocurrió a un funcionario del Ministerio de Inmigración de Australiacuando envió por error los datos del pasaporte, visados y otros detalles personales de 31 dirigentes del G20, incluyendo a Barack Obama, Vladimir Putin o Ángela Merkel.
No es el primer error humano que se comete en ese Ministerio, ya que en febrero de 2014 se produjo la mayor filtración de datos realizada por un Gobierno cuando accidentalmente se publicaron los datos personales de unas diez mil personas con peticiones de asilo. Una vez más nos encontramos con un error humano detrás de una fuga de información de relevancia.
Otra de las causas de fuga o robo de información confidencial muy frecuente en los últimos meses son las derivadas de un ataque externo sofisticado realizado por un grupo de hackers profesionales. Un ejemplo ocurrido en enero es el de la mayor fuga de datos de la historia del sector sanitario donde fueron extraídos de la empresa Anthem los datos de cerca de 80 millones de clientes y empleados.
Estas fugas de información demuestran que debemos involucrar a los usuarios y empleados en las políticas de seguridad de la organización. Como hemos visto, el ser humano es el eslabón más débil de la cadena de protección. Por ello tenemos que trabajar en la concienciación a los usuarios de que lo importante debe ser protegido y se debe restringir el acceso a dichos contenidos para no tener en un futuro sorpresas desagradables.
Resulta crítico por otro lado, tener un acceso compartimentado a la información confidencial. Los usuarios, e incluso el personal de IT, no necesitan ni deben tener acceso a toda la información. Es fundamental que sólo determinados usuarios tengan acceso a información crítica, de forma que si alguien gana acceso a una cuenta sólo pueda acceder a información limitada. Además, cifrando la documentación aseguraremos que si esta sale, sea inaccesible para aquellos que no tengan permisos. Encriptación persistente + control de acceso + posibilidad de revocación de acceso remoto es lo que ofrecen las tecnologías de IRM como SealPath.
Por último, una reflexión sobre el enfoque de la seguridad en las empresas. Muchas organizaciones continúan haciendo más fuertes las “murallas” de su organización con medidas de seguridad tradicionales. De nada vale esto cuando tenemos al atacante ya en casa como en el caso de Anthem. Necesitamos enfocarnos en proteger los datos, de forma que aunque salgan del recinto amurallado, salgan bajo nuestro control y protegidos.
