De nuevo, esta historia es completamente ficticia y, como se suele decir, cualquier parecido con la realidad es pura coincidencia… Por supuesto, SAW no se hace responsable de nada ;)
Imaginemos que una empresa, competencia directa nuestra, busca un perfil como los que nosotros tenemos: sin ir más lejos, y sólo por poner un ejemplo, gente de seguridad; y sigamos imaginando que un compañero se ve tentado por una fabulosa oferta de esa empresa. Nada extraño, ¿no? A fin de cuentas, algo bastante habitual: si alguien de seguridad busca cambiar de empleo rara vez se va a ir a programar páginas web… seguirá en el mismo campo pero en otro sitio y ese otro sitio será, casi seguro, competencia del actual.
Pero pensemos ahora malas ideas… Por ejemplo en una persona que realmente no quiere cambiar de empresa, sino pasar un tiempo en la competencia. ¿Para qué? Muy sencillo: para tener acceso a su información importante (espionaje industrial le llaman). ¿Qué precios hora y qué perfiles maneja para un proyecto? ¿Qué líneas de negocio está intentando desarrollar y cómo y dónde lo está haciendo? Desde luego, a cualquiera de nosotros nos interesaría información como ésta u otra parecida… A fin de cuentas, nos posicionaría más que bien con respecto a esa competencia…
¿De cuánto tiempo estaríamos hablando para que nuestro topo llegara a su información objetivo en el nuevo destino? Depende mucho del topo, de su nuevo rol y de la organización objetivo. Si se trata de una empresa no vinculada al ámbito de la seguridad o no especialmente concienciada con este tema seguramente el acceso será muy rápido para una persona que haya conseguido el rol adecuado (por ejemplo, administrador de sistemas); no obstante, como hemos dicho, este tipo de empresas no serán las habituales, salvo excepciones, en las que nos interese meter un topo: nos gustarán más las empresas de seguridad o las que manejen información con grandes requisitos de protección (¿como las infraestructuras críticas?). De éstas se pueden sacar datos más sensibles, pero claro, a cambio de un mayor esfuerzo y de un plazo más largo (tampoco pasa nada, no solemos tener prisa… es más, seguro que hay topos que llevan toda la vida metidos en algún sitio ;). ¿Un mes? ¿Dos meses? ¿Seis? ¿Un añito? Dependeremos, ahora que tenemos claro el tipo de organización objetivo, de dos factores: de la habilidad del infiltrado y de su rol en la organización.
El tema del rol es determinante; los roles que seguramente muchos de nosotros solemos tener son siempre interesantes: técnicos con accesos privilegiados al entorno corporativo (servidores documentales, correo electrónico, elementos de comunicaciones…) o a información sensible de seguridad (logs, volcados de tráfico, entornos de monitorización…), gestores o consultores con acceso legítimo a datos sensibles (comerciales, tecnológicos, personales…) o incluso determinados perfiles con acceso a datos ya críticos para cualquier organización, como los nuevos negocios o mercados o las estrategias de aproximación a grandes clientes… En fin, en cualquier caso, información jugosa ;)
Y ya para acabar nos queda el tercer gran factor que determinará la eficacia (o la eficiencia) de esta mala idea: la habilidad del topo. Con independencia del puesto obtenido, tener acceso a la información que nos interesa será más fácil para alguien que tenemos ya dentro de la organización objetivo que para alguien que tenemos fuera. Por supuesto, si el rol que ha conseguido le da acceso directo a los datos que nos interesan la cosa será fácil a priori; si no disponemos de ese acceso nuestro trabajo se complicará y necesitaremos más paciencia: un poco de ingeniería social, algo de basureo, una oreja atenta en la máquina del café o un buen shoulder surfing ;) En cualquier caso, y en términos generales, nada que parezca muy complicado, ¿verdad?
Vale, ya tenemos la información… ¿Qué hacemos ahora con nuestro colaborador? Traerlo a casa de nuevo será contraproducente, sobre todo si lo hacemos de forma rápida y directa: la gente pensará mal (y con razón) de nosotros y eso, en un mundo como es el de la seguridad en el que trabajamos muchas veces con relaciones de confianza muy estrechas, no beneficia a nadie, ni a la persona ni a la empresa… Incluso haciéndolo indirectamente, es decir, dejando pasar un tiempo prudencial, saltando a otra organización y de ahí retornando a la nuestra es posible que quememos a la persona y que no podamos repetir un ataque de este tipo de nuevo con ella (es más, si somos tan malos que nos acostumbramos a este tipo de cosas acabaremos quemados, por lo que estas malas ideas hay que dosificarlas muy mucho). Así, parece obvio que recuperar a esta persona en nuestra organización será complicado; además, seguramente nos resultará más útil, mientras no se queme, en su nuevo destino (así nos podrá seguir pasando datos interesantes) o, por qué no, en otros destinos a los que acceda desde la nueva organización donde tenemos al topo. En este último caso será más difícil para el atacado detectarlo y asociarlo con nosotros, por lo que el trabajo será excelente y, seguramente, también lo será el resultado…
Poniéndonos ahora en el lado del atacado… ¿cómo podemos evitar que alguien con malas ideas nos haga justamente lo que nosotros estamos elucubrando en esta entrada? Con salvaguardas antes de contratar a una persona (como CV Screening, entrevistas…), durante la prestación de sus servicios (acuerdos de confidencialidad, controles de acceso físicos y lógicos, detección de robos de información, investigaciones…) y una vez finaliza la relación con la organización (monitorización, etc.). Vamos, nada nuevo, lo que dice cualquier norma de seguridad y cualquier cabeza… Sí, es fácil escribirlo en un post y difícil hacerlo… Efectivamente, de eso se trata :)
Por cierto, aprovechando esta entrada y que el Pisuerga pasa por Valladolid, os proponemos una nueva encuesta en el blog:
[poll id=”27″]
Muy buenas noches a todos,
Este tema hará las delicias de más de uno de los lectores del blog, sobre todo de los más paranoicos (y trabajando en seguridad … ¿quién no lo es ni al menos un poco?). Sobre todo teniendo el cuenta del auge de la seguridad de los últimos años, a saber cuántos “topos” existen en algunas empresas (o como bien dice Antonio han ido rondando por varias).
El acceso a la información a partir de según qué niveles es bastante sencillo, porque en muchos casos es inherente al cargo ocupado. Y en España se sigue pensando que el atacante es siempre externo, y se tienen todos los cortafuegos, IDS/IPS que son menester … pero no siempre se tienen herramientas de DLP (ya sabéis, en casa del herrero cuchillo de palo).
Lo que me ha llamado la atención es el tema del CV screening. Yo juraría que por LOPD solo te pueden exigir un certificado de penales para algunos casos concretos (policía, guardad de seguridad, militar, etc …), y que si te lo piden en temas de seguridad informática te puedes negar. Y de lo de hacerte investigaciones privadas para saber si eres solvente, infiel, adicto a los cacahuetes o wiccano mejor ni hablamos en su vertiente legal.
Otra cosa es que no te contraten luego, y que luego la líes con el Art13. de impugnación de valoraciones (uno de mis artículos favoritos por lo irreal que es su aplicación). Aunque si yo fuera a contratar a un consultor de normativa, que la liara sería señal de que habría que ficharlo en el acto ;)
Como siempre, he rebuscado algo por Internet y aquí tenéis un artículo acerca de la necesidad de pedir certificado de penales para la contratación de trabajadores para la destrucción segura de documentos:
http://www.prodatcatalunya.com/apps/wordpress/analisis-de-la-norma-une-es-157132010-sobre-destruccion-segura-del-material-confidencial-y-la-normativa-de-proteccion-de-datos/
que no es lo mismo que seguridad informática, pero se le parece.
Un saludo,
Antonio Sanz
Universidad de Zaragoza
Hola Antonio
En primer lugar, decir que obviamente no soy abogado, así que conceptos como “legal”, “ilegal” o “alegal” pueden ser diferentes para mí de lo que lo serían para un jurista…
Hasta donde sé, efectivamente no es legal pedir un certificado de penales en términos generales; pero sí lo es comprobar que el curriculum es correcto y completo (https://www.securityartwork.es/2007/11/28/todos-tenemos-un-pasado/) y, si el candidato nos resulta sospechoso, es legal descartarlo -creo-.
Respecto a investigar a una persona, siempre que no se vulneren derechos fundamentales, IMHO sí que podríamos hacerlo, ¿no? Me explico: si tú tienes tu perfil de Facebook o Linkedin abierto y yo lo miro, y a partir de ahí me hago una idea -correcta o incorrecta- de ti y de cómo encajas en el puesto… Eso no es ilegal, ¿no? O si me dices que vives en tal calle y yo me voy a verificarlo aparcando el coche en la puerta y esperando a que salgas, o mirando buzones o timbres… vamos, o no debería ser ilegal… Recordemos que un perfil de una red social dice mucho de nosotros :)
Todo esto, insisto, sin ser abogado… ¿Hay alguno leyéndonos? :)
Un ejemplo que utilizo mucho para mostrar para qué sirve el análisis de riesgos es este documento del Centro Nacional de Infraestructuras Criticas ingles que precisamente habla de la gestión del riesgo personal y aparece el screening.
http://www.cpni.gov.uk/documents/publications/2010/2010037-risk_assment_ed3.pdf?epslanguage=en-gb
El screening si no se sobrepasan determinados límites no tiene por qué incumplir la LOPD. Yo creo que el control 8.1.2. Selección y política de personal va más en la linea de poder acreditar la veracidad del contenido del curriculum. En nuestro país no es habitual pedir las cartas de recomendación, pero lo razonable sería tener por cada puesto de trabajo una persona de esa empresa que pudiera verificar que lo incluido en el curriculum es cierto del todo. Algo similar a lo que hace ISACA cuando debes acreditar experiencia y tienes que indicar qué personas pueden confirmar que efectivamente lo que pones es cierto.
De todas formas, la aparición de las redes sociales cambia mucho el panorama y realmente haciendo “Google trashing” ya puedes hoy en día conocer un poco más a tu candidato. Lo complicado es detectar lo que plantea Antonio en el post, averiguar sus intenciones y más si viene de la competencia. La verdad es que no se me habría ocurrido incluirlo en un análisis de riesgos para una empresa normal, pero en ciertos casos, seguro que se da.
La polémica respecto al uso de redes sociales en los procesos de selección es porque obligaban a suministrar la contraseña para conocer todos los detalles del muro, y no solamente los públicos.
De todas formas, “los de seguridad” creo que empezamos ya a cruzar algunas rayas que la legislación deberá regular. Hoy he twiteado “IBM Security Tool Can Flag ‘Disgruntled Employees’” cuya tecnología estaría basada en la detección de sentimientos tras analizar el correo electrónico y otras fuentes usando Bigdata. Esto ya pasa de castaño a oscuro y toda empresa podría pretender ser un gran hermano.
http://blogs.wsj.com/cio/2013/01/29/ibm-security-tool-can-flag-disgruntled-employees/
Hola Javier
Yo creo que muchos tipos de vigilancia de personas no incumplen nada, siempre que se hagan con autorización o con OSINT… A fin de cuentas, si tú cuelgas info pública en Internet y yo la miro no estoy incumpliendo nada, ¿no? (ojo, insisto, no soy abogado). Y si a partir de ahí me hago una imagen psicológica de ti para ver si cumples con los requisitos de mi organización, tampoco hago nada malo… Vamos, creo… :)
Lo de ser el gran hermano efectivamente todo apunta en esa dirección… pero creo que nosotros, pobres mortales, poco podemos hacer más allá de alguna iniciativa particular y alguna que otra pataleta… Si quien tiene que hacer cosas no las hace y nosotros vamos regalando datos a cambio de cualquier gadget que nos ofrezcan a la salida del carreful… ¿qué esperamos? :)
Saludos!!!
Toni