Cuando uno oye hablar de espionaje industrial, la idea casi siempre va asociada a grandes “cosas”. A gigantes aeronáuticos Boeing y EADS, por ejemplo o automovilísticos ¿se acuerdan de Ignacio López de Arriortúa, popularmente conocido como Superlópez?, a grandes despliegues tecnológicos como Echelon, o a informes de altos organismos internacionales advirtiendo del peligro de esta o aquella potencia económica emergente.
El caso es que, si nos atenemos a ese tipo de casos grandilocuentes, cualquiera se podría sentir más o menos a salvo; mucha gente con la que he trabajado, aunque no toda, parece haber respondido implícitamente a la siguiente pregunta: ¿quién podría estar interesado en la información que yo manejo? Pueden imaginar que algo como Nadie o Casi nadie es esa respuesta. Lo que me gustaría dejar claro con esta entrada, sin ánimo de meterle miedo a nadie, sino más bien al contrario concienciar, es que en realidad hay mucha más gente de la que parece interesada en esa información que usted cree que no interesa a nadie. Déjenme que me explique; hay un par de aspectos que me interesa comentar.
Tomemos primero una empresa de tamaño medio, como por ejemplo para la que yo trabajo: S2 Grupo. Dentro del área en el que me muevo, mi empresa presenta de manera regular ofertas para proyectos relacionados con consultoría y auditoría LOPD, implantación de SGSI, proyectos de continuidad de negocio o auditorías ISO 27002, entre otros. Día sí y día también, para conseguir esos proyectos hemos de competir con empresas de la competencia, que presentan sus propias ofertas con su correspondiente importe económico. Estoy seguro de que se hacen a la idea de lo crítico que resultan unos miles de euros arriba o abajo en el precio ofertado; eso puede decidir la balanza de un lado o de otro, y saber el importe que ofertamos sería de una extremada utilidad para cualquier empresa de la competencia (y viceversa, claro).
Siguiendo con el mismo ejemplo, piensen ahora en la licitación pública de un proyecto, en el que hay un determinado número de puntos asociado al importe económico; la gran mayoría de empresas que se presentan, por no decir todas, “matarían” por conocer el montante económico de sus rivales, ya que eso podría suponer la concesión del concurso público. No es difícil ver dónde voy a parar; la idea, si quieren extrapolarlo a un caso más general, es que la práctica totalidad de empresas manejan información que quizá no sea de utilidad para gigantes corporativos, pero sí lo es para mucha otra gente. Y aunque me he limitado a un ejemplo concreto, obviamente existen infinidad de ellos: márgenes comerciales, costes o métodos de producción, planos de diseño, estrategias corporativas, prototipos, proyectos I+D+i, etc.; la lista es interminable. Claro que no estoy afirmando que las empresas vayan por ahí robándole información a la competencia, pero estarán conmigo en que eso no quita para poner las medidas de seguridad apropiadas; y es mejor no tentar a la suerte.
Una vez hemos dejado claro que todo el mundo dispone de información que en algún momento puede ser interesante para alguien, pasemos a una gran empresa de esas que en opinión de cualquiera, sí dispone de información confidencial de mucho interés para sus competidores. Tomemos en este caso como ejemplo una multinacional con plantas industriales en infinidad de países, y antes de nada, y para atajar cualquier tipo de especulación, he de dejar claro que aunque he trabajado con varias multinacionales, este ejemplo no está basado obviamente en ninguna de ellas.
Como decía, en este caso, gran cantidad de personal trabaja con información que en manos de la competencia podría suponer un impacto serio para las actividades de la empresa; se me ocurre, por ejemplo, que un competidor patente antes que nosotros un medicamento, componente o pieza que hemos desarrollado. A pesar de ello, y este es el segundo aspecto que les quería comentar, y aunque parezca extraño, parte de ese personal no es consciente de la importancia que puede tener la información que maneja. Unas veces por mera inconsciencia o desconocimiento, otras por necesidades del momento, u otras por simples hábitos laborales (como el teletrabajo “no regulado”). Lo que importa, al fin y al cabo, es que la rutina laboral genera una serie de costumbres y hábitos perjudiciales que pasan desapercibidos.
Y aquí es precisamente donde debe entrar la empresa: a implantar procedimientos y políticas, a concienciar al personal, a obligar a utilizar herramientas corporativas, a ofrecer alternativas seguras. Es decir, allí donde se generan rutinas indeseables, cortarles los brazos (a las rutinas, por supuesto) y sustituirlas por otras que, sin impedir el flujo de trabajo, preserven la seguridad de la información corporativa que el empleado gestiona. ¿Que de qué estoy hablando? Pues estoy hablando del uso de USBs corporativos, políticas estrictas de contraseñas, de herramientas de cifrado, de políticas de copia de equipos personales, de registros de entrada y salida de soportes, de políticas de correo electrónico, de un estricto control del soporte papel, o de políticas de mesas limpias y bloqueo automático de sesiones, sin olvidar las necesarias sesiones de formación participativas, que resulten realmente efectivas y no como en ocasiones es tristemente evidente un mero entretenimento o una molesta interrupción más de mi jornada laboral.
Todo el mundo yo el primero tiene rutinas diarias a las que se acostumbra, que de una forma u otra, piensa que le hacen el trabajo más fácil, y de las que no intuye que pueden suponer un riesgo de seguridad. Tal y como yo lo veo, y disculpen la comparación (yo también soy un trabajador, un “currante”), es como sacar a pasear a un perro con una correa; no vamos a dejar de pasearlo, pero ahí está la correa para decirle por dónde puede y por dónde no puede pasear. El perro somos todos nosotros, y la correa, las medidas que les comentaba.
Esto es todo. Mi intención con esta entrada era dejar claros dos aspectos. El primero, que aunque no lo creamos, todos tenemos información que puede ser útil a terceras partes, y el segundo, que aún cuando pueda ser evidente que esa información existe, la mayor parte de las personas no nos comportamos como si fuésemos conscientes de ello.