La parábola de Wikileaks y la seguridad de la información

Hace ya varios años, en el momento el problema en cuestión era el originado por el afamado Julián Assange, justo cuando nos estábamos cansando de pregonar las bondades de los Sistemas de Gestión de la Seguridad de la Información, nos llueve Wikileaks. ¡Buenísimo!
Dicen que está mal reírse de la desgracia ajena, pero el señor Assange contribuyó a escribir la película de espías más mala de todos los tiempos y resulta que en vez de película era un reality. Y no cualquiera, sino uno en el que el Gran Hermano estaba realmente complicado para los participantes, y termina entrando en el confesionario en forma compulsiva para criticar hasta a sus amigos, como debe ser. ¡Buenísimo!
Se apilan las siglas inútiles en algún lugar sólo reservado para la vergüenza: CIA, NSA, FBI, etc, etc, etc. La Agencia Nacional de Seguridad, podría llamarse de ahora en más Agencia Nacional de “veamos que hacemos por la” Seguridad. ¡Buenísimo!
Dejando la risa de lado, este escándalo internacional fue (y es) una muestra demasiado contundente de lo que puede pasar si la información crítica y vital (o no) que poseemos, se difunde con alguna intención totalmente esquiva a nuestros intereses. Podemos ver en el ejemplo que la cuerda suele cortarse por la parte más delgada y que, al igual que pasó con los cables de la diplomacia norteamericana, puede pasar lo mismo, pero a menor escala: algún muchachito malintencionado y enojado por cualquier motivo con su gerente de turno puede sustraer la lista de clientes de su empresa, junto el libro mayor de compras, los montos de facturación que no se sabe por qué alguien se olvidó de declarar, los listados de algunas otras cositas –como por ejemplo bienes en el extranjeros o cuentas a nombre de terceros, que en realidad pertenecen a la empresa o sus directores–, archivos supuestamente sin valor que documentan las estrategias de mercado al corto y mediano plazo, desarrollos de productos ganadores que la competencia no debe tener y la lista puede seguir.
También puede ocurrir que este mismo muchachito se enoje con el dueño de la clínica privada para la cual trabaja y que dentro de un CD que tiene escrito en fibrón negro “Damas Gratis”, robe las historias clínicas de los pacientes. Y si encima sabe que esos datos están protegidos por la Ley Nacional 25.326, más conocida como “Ley de Habeas Data”, a los directivos y propietarios no les va a alcanzar el dinero que puedan juntar en un par de años para pagar los juicios en su contra (en caso de que esos datos se difunden)
Más simple aún, y no tan derrotista, sería suponer que un buen día uno de nuestros muy eficientes empleados del sector contable traiga su inocente pen drive, con una memoria de escasos dos gigas, llena de fotos de sus maravillosas vacaciones en el Cerro Uritorco, para mostrar a sus compañeros de piso y que ese dispositivo esté infectado con un virus que, al activarse, destruye cierta información crítica de los discos duros asociados al sistema, incluso los de backup en disco que alguien se olvidó de desconectar del puerto USB del servidor dejando en el olvido absolutamente toda dicha información, para beneplácito del contador y, en menor medida, de la AFIP.
"Jamás me va a pasar"
Seguramente después de enunciar estos tres escenarios haya muchos empresarios diciendo “jamás me va a pasar”; una actitud muy clásica de los argentinos que tendemos a creer que las cosas malas le pasan a los demás y que nosotros estamos seguros (quien no lo crea que piense en la resistencia al uso del casco en los motociclistas de Buenos Aires o el cinturón de seguridad en los conductores de automóviles…)
La mala noticia es que están tan equivocados, tanto como los que dejaron entrar con un CD de Lady Gaga a un muchachito que tenía acceso a cientos de miles de cables diplomáticos pertenecientes al gobierno de los Estados Unidos y que un tal Assange publicaría gustoso.
Es hora de que entendamos que la información es uno de los activos más valiosos que podamos tener en la empresa, en ésta era del conocimiento. Está muy mal pensar que los contactos de la empresa son solo datos dispersos y que en algún momento nos pueden ayudar. Tenemos que proteger nuestra información crítica porque forma parte del fluido virtual que pasa por las venas mismas de la organización, y si se pierde nos puede traer trastornos inimaginables.
Esta es una de las razones por las cuales la implementación de un Sistema de Gestión de la Seguridad de la Información bajo la norma ISO 27001 es una inversión, y no un gasto. Quien piense que para implementarlo lo primero que tiene que hacer es cambiar sus servidores se equivoca: debemos pensar primero en qué cosas, actitudes, acciones o personas pueden poner en riesgo la seguridad de nuestro activo “información”, sea en forma malintencionada o accidental. El mayor riesgo radica en el descuido y no en la mala intención, como la del muchachito que alimentó a Wikileaks. Cuando el mal está hecho es un poco menos que inútil pensar si hubo culpa o dolo.
La frase que debería cerrar la fábula, nuestra moraleja del momento, es que si no prevenimos este riesgo, entonces será mejor que hagamos una previsión contra desastres, del tamaño equivalente a la importancia real de nuestro activo. Y también que tengamos muy en cuenta qué pasaría si de ahora en más no calculamos el riesgo de pérdida de nuestra información crítica en la empresa, si el infortunio cae sobre nuestras cabezas y la de nuestro jefe de sistemas. Recuerde que siempre es mejor planificar nuestras acciones que reaccionar ante contingencias.