Conocer para proteger: 5 vulnerabilidades problemáticas de la información

Comentémoslas:

Robo: Está claro que, cuanto más sensible e importante es una información, más interés en robarla puede haber. A pesar de lo que se pueda pensar, la mayoría de los robos de información se producen “desde dentro”, no en plan ‘hackers‘ expertos de película.

¿Cómo podemos paliar esto? Pues, en contra de lo que mucha gente piensa, yo creo que lo mejor es dar usuarios y contraseñas a todo el mundo. Me explico. Si un trabajador necesita acceder a cierta información, pues démosle acceso controlado por usuario y contraseña… si no lo hacemos, ocurrirá lo que ocurre tantos centros: contraseñas compartidas (incluso puestas en ‘post-it‘ pegados al puesto de trabajo, en más de una ocasión). ¿No es mejor que cada uno tenga su usuario restringido a aquello que necesite para su trabajo? Así podremos eliminar la necesidad del “préstamo de credenciales” y hacer una correcta trazabilidad del acceso a la información, en caso necesario.

Dispositivos móviles: Esto incluye móviles, tabletas, unidades USB… cualquier dispositivo que pueda llevar información. Uno de los mayores peligros de estos dispositivos es su pérdida, ya sea accidental (hace poco le ocurrió a un ministro

¿Cómo podemos paliar esto? Pues protegiendo adecuadamente dichos dispositivos: poniéndoles contraseñas adecuadas y cifrando su contenido. Otra medida sería que estos dispositivos nunca almacenaran información sensible, sino que accedieran a ella de manera remota en el servidor correspondiente, que es mucho más fácil de proteger.

Diseminación de la información: Está claro que cuantas más puertas tengamos que vigilar, más difícil será la tarea. En este sentido, los esfuerzos por centralizar la información que siguen nuestros sistemas corporativos van en esta línea. Lo malo es que, si se hace mal, sin los recursos suficientes, los afectados por la centralización son los usuarios: por la lentitud de los sistemas… ¿a que os suena este problema?

Externalización de servicios: Esto es cada vez más frecuente y, hasta cierto punto, necesario, pues no podemos (ni debemos) hacer todas las tareas por nosotros mismos. Pero, para que estas terceras empresas puedan trabajar, debemos darles acceso a nuestros sistemas y… ¿os acordáis del primer punto?

La nube: Yo no voy a referirme al peligro tal y como lo define el artículo. Voy a hablar del uso que hacemos de la nube en el ámbito profesional. Ejemplo: el uso de Dropbox en nuestro hospital. ¿Debe permitirse? Pues para uso personal, no habría problema… pero, ¿qué pasa si usamos esta herramienta para la información de índole profesional? Digamos, informes, imágenes, historias clínicas, consultas… la legislación vigente es muy clara a ese respecto. ¿Qué se hace? Pues que se cortan esos servicios en nuestros centros. ¿Es lo correcto? Creo que es una estrategia equivocada, pues servicios de estos salen a diario y se hace bastante complicado controlarlos todos. ¿Qué deberíamos hacer? Lo tengo muy claro: concienciación y formación… enseñemos a nuestros profesionales a usar la nube de forma segura para la información que manejamos. Y, si tan necesario es su uso, ¿por qué no plantearnos el montar nuestra propia nube para uso profesional? Existen muchas herramientas de software libre que nos permiten crear nuestro propio Dropbox en el que somos nosotros los que controlamos el nivel de protección de la información. Es cuestión de visión y estrategia corporativa… algo que, por desgracia, no siempre tienen las personas que dirigen nuestras organizaciones.