Wikileaks y la seguridad de la información

Dicen que está mal reírse de la desgracia ajena, pero el Sr. Assange contribuyó a escribir la película de espías más mala de todos los tiempos, y resulta que en vez de película era un reality; y no cualquier reality, sino uno en el que el Gran Hermano está realmente complicado por los participantes, y termina entrando en el confesionario en forma compulsiva para criticar hasta a sus amigos.

Se apilan las siglas inútiles en algún lugar sólo reservado para la vergüenza: CIA, NSA, FBI, etc, etc, etc. La Agencia Nacional de Seguridad, podría llamarse de ahora en más Agencia Nacional de “veamos que hacemos por la” Seguridad.

Este escándalo internacional es una muestra demasiado contundente de lo que puede pasar si la información crítica y vital que poseemos, se difunde con alguna intención totalmente esquiva a nuestros intereses. Y podemos ver en el ejemplo, que la cuerda suele cortarse por la parte más delgada, y que al igual que pasó con los cables de la diplomacia norteamericana, algún muchachito malintencionado y enojado por cualquier motivo con su gerente de turno, puede sustraer la lista de clientes de su empresa, junto el libro mayor de compras, los montos de facturación que no se sabe porqué alguien se olvidó de declarar, los listados de algunas otras cositas, como por ejemplo bienes en el extranjeros o cuentas a nombre de terceros que en realidad pertenecen a la empresa o sus directores, archivos supuestamente sin valor que documentan las estrategias de mercado al corto y mediano plazo, desarrollos de productos ganadores que la competencia no debe tener, y cosas por el estilo. Si imaginamos que este mismo muchachito también se enojó con el dueño de la Clínica Privada para la cual trabaja, y que dentro de un CD que tenía escrito en fibrón negro “Damas Gratis”, hurtó las historias clínicas de los pacientes, y que encima sabe que esos datos están protegidos por la Ley Nacional 25.326, más conocida como “Ley de Habeas Data”, y que si los difunde a los directivos y propietarios no les va a alcanzar el dinero que puedan juntar en un par de años para pagar los juicios en su contra. Más simple aún, y no tan derrotista sería suponer que un buen día uno de nuestros muy eficientes empleados del sector contable puede traer su inocente pen drive, con una corta memoria de escasos dos gigas, llenas de fotos de sus maravillosas vacaciones en el Cerro Uritorco para mostrar a sus compañeros de piso; y que ese dispositivo podría estar infectado con un virus que al activarse destruiría cierta información crítica de los discos duros asociados al sistema, incluso los de backup en disco que alguien se olvidó de desconectar del puerto USB del servidor, dejando en el olvido absolutamente toda dicha información, para beneplácito del contador y, en menor medida, de la AFIP. Seguramente después de enunciar estos tres escenarios muy poco probables en cualquier empresa hay muchos empresarios diciendo “jamás me va a pasar”, una actitud muy clásica de los argentinos que tendemos a creer que las cosas malas le pasan a los demás y que nosotros estamos seguros. La mala noticia es que están tan equivocados como los que dejaron entrar con un CD de Lady Gaga a un muchachito que tenía acceso a cientos de miles de cables diplomáticos pertenecientes al Gobierno de los Estados Unidos, y que un tal Assange publicaría gustoso.

Es hora de que entendamos por fin que la información es un activo de los más valioso que podamos tener en la empresa, en ésta era del conocimiento. Esta muy mal pensar que los contactos de la empresa son solo datos dispersos y que en algún momento nos pueden ayudar. Tenemos que proteger nuestra información crítica, porque forma parte del fluido virtual que pasa por las venas mismas de la Organización, y que si se pierde nos puede traer trastornos inimaginables. Esta es una de las razones por las cuales la implementación de un Sistema de Gestión de la Seguridad de la Información bajo la norma ISO 27001 es una inversión, y no un gasto. Quien piense que para hacerlo lo primero que tiene que hacer es cambiar sus servidores se equivoca: debemos pensar primero en que cosas, actitudes, acciones o personas pueden poner en riesgo la seguridad de nuestro activo “información”, sea en forma malintencionada o accidental. El mayor riesgo radica en el descuido y no en la mala intención, como la del muchachito que alimentó a Wikileaks; cuando el mal está hecho es un poco menos que inútil pensar si hubo culpa o dolo.

La frase que debería cerrar la fábula, nuestra moraleja del momento, es que si no prevenimos este riesgo es mejor que hagamos una previsión contra desastres, del tamaño equivalente a la importancia real de nuestro activo, y tengamos  muy en cuenta que pasaría si de ahora en más no calculamos el riesgo de pérdida de nuestra información crítica en la empresa, si el infortunio cae sobre nuestras cabezas y la de nuestro Jefe de Sistemas. Recuerde que siempre es mejor planificar nuestras acciones que reaccionar ante contingencias.