La información es el elemento vital de un cibercriminal, sin mencionar el enorme valor que tiene para una gran variedad de malhechores con intenciones deshonestas que buscan aprovechar el valor de la información para sus fines. Y mi interacción reciente con todo tipo de organizaciones, agencias gubernamentales e incluso asociaciones de abogados no hacen más que mantenerme pensando al respecto.
Hace poco tuve que realizar cierto trámite y la organización con la que interactué se comportó adecuadamente, obligándome a suministrar lo siguiente:
- Detalles de la cuenta bancaria
- Estado de cuenta bancario
- Número de seguridad social
- Prueba de registro VAT
- Fotocopia del pasaporte
Parte de la información que proporcioné es de dominio público, mientras que otra parte no lo es tanto y es valiosa para el que ostenta su propiedad. Lo que sí es cierto es que cuando se conjuntan ambas partes, pueden proporcionar una imagen muy completa de un objetivo potencial para un ataque o robo de información, a pesar de que este tipo de solicitudes sea una práctica aceptada y es común en los negocios día a día.
Peor aun en esta ocasión, al presentar una factura, parte de la información ya proporcionada fue solicitada por segunda vez, lo que me dejó preguntándome, ¿dónde están las copias de mi primera entrega?, ¿en qué servidor de archivos se almacenan?, ¿en qué buzón de correo electrónico se conservan? Y, sobre todo, ¿quién tiene acceso a esta información?
El mismo tipo de preguntas vinieron a mi mente con respecto a un proyecto reciente en el que participé y en el que había más de tres partes involucradas en la cadena de información. Una era la empresa principal (que por cierto estuvo en los medios informativos después de un caso de exposición no autorizada de información sensible) y las otras dos eran agencias offshore localizadas en India, en un ejemplo claro de riesgo de exposición al ser tres áreas separadas, al menos, las que poseían información sensible.
Otro ejemplo de riesgo de divulgación, aunque ahora en sentido inverso: hace tiempo fui contratado como testigo experto; para ello me proporcionaron información en formato electrónico e impreso. Al finalizar el caso no había algún requerimiento que me obligara a eliminar de forma segura la información proporcionada.
Y mi mente sigue y sigue… digamos ahora que usted es el custodio de un documento clasificado como TS (top secret) y se requiere una copia del mismo, o de una parte de él. Las reglas son muy claras: usted debe obtener el permiso del custodio o propietario del documento, y luego la copia será registrada para documentar su existencia, además de que deben cumplirse todos los requisitos de almacenaje y destrucción segura, tanto del documento original como de sus copias o extractos (un proceso que se ha llevado a cabo y probado durante muchos años para asegurar que la información sensible de organizaciones y naciones está sujeta a controles robustos).
¿Pero si la información está en formato electrónico? Aun aquella clasificada como secreta puede ser fácilmente copiada de un archivo a otro, de un sistema a otro, y transportada hacia y desde los ministerios, juzgados u oficinas, en dispositivos no cifrados, incrementando mucho el riesgo de exposición y exfiltración, en aras de la comodidad.
La conclusión es que todos debemos hacerlo mejor, incluyendo políticas robustas de retención/divulgación en nuestro flujo de trabajo diario, asegurando que tenemos controles adecuados para administrar, procesar y disponer de la información al final del ciclo operativo. Es necesario comenzar a pensar en el ciclo completo, produciendo registros y certificados de destrucción, para demostrar que el proceso ha sido completado, de tal manera que no seamos parte del problema global de exfiltración de información hacia las manos de los criminales.
Excelente articulo.
Saludos.