Hasta hace poco, la idea de que uno de los empleados de la empresa cometiera una traición y comprometiera datos confidenciales era prácticamente inconcebible. El consenso fue que las amenazas a la empresa provienen del exterior, no del interior, y se crearon medidas de seguridad en consecuencia. Esto cambió drásticamente cuando el mundo se enteró de la existencia de Edward Snowden, un contratista hasta entonces anónimo que robó y filtró archivos confidenciales de la NSA.
Además del caso Snowden, un revelador informe de «Boscom» también ha desafiado la noción de que la principal amenaza para los datos de una empresa proviene del exterior: de piratas informáticos, espías industriales y otros competidores. Este informe revela un hecho inquietante: casi el ochenta y cinco por ciento de los ex empleados de cualquier empresa han dejado su lugar de trabajo con datos confidenciales, si no con documentos reales. Si bien el robo de Snowden a la NSA fue visible y de interés periodístico a nivel mundial, el informe de Boscom muestra lo fácil que es para los empleados de todo el mundo simplemente irse con tesoros de datos confidenciales.
A la luz de lo anterior, es fácil entender por qué las empresas tienen dificultades para mantener la seguridad de los datos, especialmente cuando el mayor riesgo proviene de sus propios empleados, y cuando el acceso de los empleados a los datos es vital no solo para su trabajo, sino para el éxito de la empresa en general. Esta es la razón por la que la solución de restringir el acceso a los datos, que es la respuesta intuitiva, es problemática: disminuye inherentemente la capacidad de funcionamiento de la empresa. Entonces, ¿significa esto que las empresas se enfrentan a un problema para el que no hay solución?
Veamos este enigma a través de un escenario práctico que es relevante para nuestra industria: Un corretaje de Forex. Una correduría tiene varios departamentos, cada uno de los cuales necesita acceder a ciertos datos para funcionar adecuadamente. Desde los representantes de ventas hasta los miembros del equipo de marketing (por ejemplo, los especialistas en marketing por correo electrónico), varios aspectos de la información del cliente deben ser visibles para diferentes personas y solo un software adecuado puede garantizar la compartimentación. Es cuando los empleados se enteran de la información que no deberían ver que las mayores violaciones de la seguridad se vuelven posibles, por lo que no se puede enfatizar lo suficiente la importancia de la compartimentación. Es la única forma en que una correduría puede proteger la información de posibles amenazas internas, sin comprometer la productividad.
A nivel técnico, las dos herramientas más importantes a disposición de una correduría son un buen CRM y una buena encriptación. El primero permite a la gerencia determinar quién está al tanto de qué datos, y el segundo evita que personas no autorizadas accedan a la información a través de computadoras no corporativas («piratas informáticos»). Otro beneficio de un buen cifrado es que evita que los empleados deshonestos envíen datos confidenciales, ya que son inútiles sin el descifrado adecuado, que no tienen.
Para implementar mejor estas contramedidas, es importante decidir primero una política de seguridad de datos que sea respaldada e implementada por estos medios. Esto significa que las medidas técnicas están determinadas por la política, no la política por los medios disponibles. Además de las medidas técnicas empleadas, la gerencia también debe definir claramente las reglas y regulaciones internas, como la prohibición de unidades USB en la propiedad de la empresa, la prohibición de iniciar sesión con el nombre de usuario de un empleado diferente y más. Aunque parezca obvio, nada es obvio cuando se trata de proteger sus datos.
Edward Snowden hizo visible la vulnerabilidad de los datos. Después de todo, si la todopoderosa NSA es vulnerable al robo, ¿cuál es la posición del resto de nosotros? Pero en el contexto del sector privado, las contramedidas adecuadas disminuyen significativamente la vulnerabilidad de una empresa. Con Snowden en mente, también hay que tener en cuenta la identidad de quién está robando información y sus recursos: las agencias nacionales de inteligencia tienen más recursos que una empresa competidora, y sus agentes están dispuestos a asumir mayores riesgos para obtener información. Personas como Snowden roban información por razones ideológicas, mientras que la inteligencia empresarial está impulsada por el dinero y las ganancias. Por lo tanto, las contramedidas que se necesitan para disuadir el robo en el sector privado también son más asequibles y accesibles.
Al final del día, vivimos en un mundo donde nuestros datos están en riesgo constante y continuamente, sin embargo, también existen muchas soluciones tecnológicas y procedimientos operativos estándar que reducen significativamente este riesgo. Recuerde que debe estar atento y adelantarse a las posibles amenazas, pero también recuerde que incluso estas amenazas, por importantes que sean, también son manejables, y que mantener la seguridad de los datos no tiene por qué ir en detrimento de la productividad y los beneficios.
