El peligro latente detrás del intercambio y almacenamiento de documentos

Por Marcelo Fernandes*

Un común denominador de las empresas de todo el mundo es su constante intercambio de información y documentos con sus socios, proveedores, contratistas, empleados y clientes. Archivos van y vienen con información comercial, intelectual, operativa y altamente confidencial, en la mayoría de los casos a través de canales como el correo electrónico, servicios de intercambio y almacenamiento de archivos, sitios ftp e incluso dispositivos portátiles como unidades USB.

La agilidad y velocidad a la que viajan los datos le permite a las organizaciones reaccionar más rápido a los cambios de las condiciones del mercado, fomentar la colaboración e innovación, y tomar decisiones más acertadas en el menor tiempo posible. Pero también las expone al enorme riesgo de que dicha información sea robada, se pierda y que pueda caer en manos de personas maliciosas que buscan hacerse de secretos comerciales o utilizarla para obtener ganancias.

Una investigación del Ponemon Institute reveló que el malware, el robo físico y otras amenazas externas no son los únicos medios a través de los cuales se filtra la información; se suma la falta de regulación en el intercambio de archivos, y la amenaza del Shadow IT (cuando los usuarios implementan software y hardware sin autorización del departamento de TI).

De acuerdo con el estudio, 60% de los profesionales de TI encuestados ha utilizado en su trabajo aplicaciones para compartir archivos, ha enviado correos electrónicos sin cifrar, no ha eliminado documentos confidenciales cuando tenían que hacerlo, o ha enviado accidentalmente archivos a destinatarios no autorizados.

Utilizar servicios públicos para el envío de aplicaciones eleva considerablemente el peligro de perder información corporativa altamente confidencial. En la mayoría de los casos, es evidente que los empleados los utilizan por conveniencia y confían en que lo están haciendo de forma segura. Echemos un vistazo a algunas de las modalidades para intercambiar y transportar información y sus peligros potenciales.

• Servicios para compartir y almacenar archivos. Aquí figuran aplicaciones públicas y gratuitas basadas en la nube y sitios ftp, cuyo uso va en aumento.

La firma de seguridad Imperva reportó que había descubierto una vulnerabilidad ‘side door’ en varios servicios de almacenamiento públicos. Señaló que los hackers incluso pudieron tener acceso al contenido almacenado sin siquiera necesitar un nombre de usuario y contraseña, algo que los usuarios no advirtieron, y que la única manera de detener dicha intrusión sería cerrar la cuenta.

• Unidades de almacenamiento USB. ¿Cuántas unidades de esta clase ha tenido y extraviado en los últimos años? Seguramente ya perdió la cuenta. Y es que las memorias USB se pierden y roban con facilidad. Pueden terminar en cualquier parte. Un estudio de ESET realizado en el Reino Unido reveló que más 22 mil terminaron en tintorerías, y sólo el 45% se devolvió a sus dueños. Algunas se quedaron en el transporte público, otras jamás se recuperaron, y otras terminan en las manos de criminales y oportunistas.

Si tuvo la suerte de recuperarlas, puede estar tranquilo. Pero si son tomadas por alguien con oscuras intenciones, la información contenida en estos dispositivos de almacenamiento puede utilizarse para cometer delitos como el robo de identidad, la divulgación y venta de datos confidenciales y la extorsión, por mencionar algunos. Lo grave de esto es que las empresas no tienen entre sus prioridades tomar las medidas necesarias para protegerlos, aunque reconocen que han perdido información confidencial o delicada. Apenas unas cuantas organizaciones tienen la política de bloquear los puertos USB para evitar la copia y almacenamiento de documentos en estas unidades.

• Correo electrónico. Como una herramienta cotidiana de comunicación e intercambio de información, el correo electrónico es vital para hacer negocios y operar en el día a día. Sin embargo, su nivel de riesgo es sumamente alto, cuantimás  si no está cifrado y no se fortalece con soluciones de seguridad informática.

Para las empresas, éste es el principal medio a través del cual puede fugarse información sensible. Asimismo, debido a errores humanos al escribir erróneamente la dirección electrónica del destinatario o por ser proporcionada por la función de autollenado, destinatarios no autorizados pueden recibir directamente recursos a los que no deberían tener acceso.

A esto se suma el phishing y el malware que pueden penetrar a una computadora o una red con sólo abrir un mensaje de correo electrónico, y que podrían extraer archivos sensibles o secuestrar los sistemas para liberarlos a cambio de un rescate.

En este mismo rubro se incluye el uso del correo electrónico web, que no está del todo controlado por las organizaciones y que representa un gran potencial para la fuga y el robo de información.

Los expertos en seguridad coinciden en la necesidad de advertir a los empleados sobre los peligros latentes y enseñarles las buenas prácticas respecto al uso y protección de documentos e información sensibles. La firma de colaboración de contenido Intralinks sugiere dar a los empleados herramientas efectivas para compartir información de modo que no tengan que buscar otras que sean gratuitas y no estén autorizadas para realizar su trabajo.

*Marcelo Fernandes es director de Marketing de Intralinks para Latinoamérica. Con 20 años de experiencia en Mercadotecnia y Desarrollo de Negocios en Latinoamérica, Fernandes ha trabajado para empresas líderes como Microsoft, SAP y Huawei, en donde contribuyó con la promoción de tecnologías de nube, movilidad y big data. Es ingeniero en Electrónica por la Universidad Estatal Paulista Júlio de Mesquita Filho, cuenta con un MBA (Escuela de Negocios de São Paulo-Universidad de Toronto), especializaciones en Marketing (Escuela Superior de Propaganda y Marketing de São Paulo, Brasil), y un grado en Estrategia, Finanzas y Transformación Digital (INSEAD). Twitter: @marcelo_sfer.