Seis más una medidas para evitar la fuga de información

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Dos. La segunda medida es, como es natural, eliminar cualquier acceso a Internet. Los sistemas de webmail son, como todos sabemos, un potencial peligro, y aunque los cerremos en el cortafuegos, seguramente el empleado maligno encontrará alguna alternativa tal como el ftp, ssh, sites orientadas al almacenamiento de ficheros, etc. Este punto también carece de complejidad, como podrá comprobar: Deny ALL from ALL y voilà. En este caso, sí, admitimos que las quejas de usuarios pueden ser algo más enérgicas, sobre todo cuando el director financiero sea incapaz de realizar las transferencias de las nóminas por banca electrónica, o recursos humanos necesite mandar información mediante DELTA. No haga caso. Está en juego la información corporativa.

Tres. La tercera medida lógica en este proceso es cortar el correo electrónico. No hay en el entorno empresarial mayor peligro que el correo electrónico. Olvide que sirve para contactar con clientes, potenciales o futuros, o proveedores. Mucha gente utiliza este sistema para mandar información confidencial, así como datos de carácter personal a cuentas privadas, vaya usted a saber si a potencias asiáticas o la propia AEPD. Hágame caso: corte el grifo. No email, anymore.

Cuatro. La cuarta medida a aplicar es la eliminación de cualquier fax o teléfono. Esto requerirá confiscar los teléfonos móviles de todos sus empleados, sobre todo aquellos con cámara, particularmente peligrosas si dispone usted de planos o alguna cosa gráfica que copiar. No se olvide, ya que estamos, de las cámaras. Con esto conseguiremos aislar a nuestra empresa del exterior. No tenemos que preocuparnos por tanto de que la información salga por vía telemática, telefónica, electrónica, o cualquier otro medio. Estamos casi a salvo.

Cinco. La quinta medida es eliminar las impresoras, y el siguiente, imprescindible, es confiscar todo el material con el que se pueda escribir, y los potenciales soportes: lápices, bolígrafos, rotuladores, folios, libretas, etc. No sabemos si alguien puede querer copiar un diseño, una función, un procedimiento de calidad, su estructura de red, o el listado de nombres y apellidos de todos los empleados. Hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, esto implica que se ha de cortar radicalmente el correo postal, tanto de entrada como de salida.

Seis. La sexta y última medida que le proponemos es el cacheo exhaustivo de sus empleados tanto a la entrada como a la salida de la empresa por parte de personal de seguridad especializado. Recuerde que no sabemos qué maléfico plan tienen los empleados en la cabeza, y cualquier precaución es poca.

Estas son algunas de las medidas, pero por supuesto, no son todas. Como suele decirse, el demonio está en los detalles. Tenga en cuenta, por último, que cualquier empleado que deja la empresa puede llevarse información interna en su propia cabeza (sí, puede, es verdad). Por razones legales —que no éticas— no podemos aconsejarle que impida que sus trabajadores se jubilen, cambien de trabajo o se dediquen a la vida contemplativa. ¿Se acuerda lo que decía Gene Spafford? Es decir, que para evitar cualquier tipo de riesgos, la mejor y más eficaz medida para evitar la fuga de información es impedir que sus empleados tengan cualquier tipo de acceso a ésta: déjelos en casa. Ellos contentos, y usted, contento.

¡?nimo!