Mientras miras a las nubes, la inseguridad (de la información) viaja en tus bolsillos

Últimamente, cuando se habla de seguridad de la información, parece que sólo se habla de ésta en “la nube” y en las redes sociales. No quisiera quitarle importancia a este debate, porque la tiene… y mucha. Pero creo que estamos cometiendo el error de olvidar otros peligros menos “modelnos” pero mucho más frecuentes en nuestro día a día.

¿A qué me refiero? En primer lugar, a la seguridad de la información que manejamos en soportes no electrónicos… sí, sí, nuestra historia clínica en papel. Puede que no sea el último grito, pero no podemos negar que, todavía, sigue siendo el principal soporte de la información con la que trabajamos día a día (salvo contadísimas excepciones). El hecho de que la seguridad de nuestras historias en papel no sea tan cómoda y tan trazable como la seguridad de nuestras historias electrónicas, no nos exime de exigir el mismo nivel para las primeras.

Pero hoy no vamos a hablar de la seguridad de nuestras historias en papel. Vamos a un segundo ejemplo de lo que exponíamos al principio de esta entrada. ¿Cuántos de nosotros usamos la nube o las redes sociales en nuestra práctica clínica diaria? ¿Y cuántos de nosotros llevamos una unidad de memoria USB en nuestros bolsillos al trabajo? El hecho de que sea cotidiano, no debe hacernos bajar la guardia.

El MAestro Máñez compartió con nosotros la siguiente infografía sobre seguridad USB en Europa.

Fuente: wwwhat's new

Algunos datos que deberían llamarnos la atención:

• El 71% de los encuestados en toda Europa confirmó que su empresa no cuenta con la tecnología para detectar la descarga de información confidencial a memorias USB por parte de personas no autorizadas.
• 62% de las empresas han sufrido en los dos últimos años una pérdida de información sensible o confidencial a causa del extravío de estas memorias.
• El 63% reconoció que los empleados nunca o raras veces informan a las autoridades de la pérdida de memorias USB.
• El 52% opinó que sus empresas no consideraban como una alta prioridad la protección de información confidencial y sensible descargada y almacenada temporalmente en memorias USB.
• Sólo un 43% de las empresas exigen el uso de contraseñas o bloqueos en las memorias USB de los empleados, y sólo el 42% cuentan con sistemas de encriptado para los archivos contenidos en las mismas.

Debemos tener en cuenta un elemento diferenciador de nuestra profesión. En nuestro caso, no manejamos información de la empresa que puede suponer una desventaja competitiva si la perdemos y la encuentra la competencia… ¡manejamos una de las informaciones más preciadas que tienen las personas que nos confían el cuidado de su salud! Por este motivo, debemos tomarnos especialmente en serio su protección.

Formas de garantizar esta protección hay muchas. A nivel técnico la cuestión está resuelta: se podrían bloquear los puertos USB para que no podamos conectar nada (esto ya se hace), existen soluciones para controlar/autorizar las memorias USB que se conectan, se podrían autorizar sólo memorias USB de la empresa adecuadamente cifradas… no os voy a aburrir con esto.

La cuestión es que el nivel que no está resuelto es el humano.

Falta concienciación de los riesgos a los que nos exponemos (¿qué me decís de las memorias USB que “nos regalan”? ¿Nos fiamos? ¿Y si van infectadas o llevan programas con intenciones oscuras de la empresa “regaladora”? Para muchas cosas nos fijamos de lo que aparece en las películas, pero cuando “nos regalan” se difuminan las desconfianzas

Falta formación para hacer frente a dichos riesgos y, ¿por qué no decirlo?, falta una visión algo más abierta de nuestras instituciones. Al fin y al cabo, el profesional que se está llevando información a casa no es para venderla… ¡es para trabajar! ¿Por qué no en vez de poner pegas, prohibiciones y dejarlos solos ante el peligro afrontamos la situación desde un punto de vista más práctico y constructivo?

Como dije en entradas anteriores, no me explico por qué no se enseña nada de esto en nuestras facultades. El mundo cambia a una velocidad brutal, pero la forma en la que nos preparan para enfrentarnos a este mundo sigue siendo la misma desde hace muchos años.

Espero que dentro de poco, estas consideraciones dejen de ser “algo de geeks” y que todo el mundo las considere normales y necesarias. ¿Cuántas veces habremos escuchado cosas como ésta? “¡Qué exagerado eres! ¿Qué va a pasar?” (hasta que pasa, claro), “¡Es que llevar la información cifrada es una lata!” (¿es eso una excusa?), “La culpa es de la empresa, que no pone medidas” (y si las pone, te quejas también… está claro que es responsabilidad de la empresa… ¿pero dónde dejas la tuya? ¿Acaso crees que no la tienes?).

Como decía al principio de la entrada… dejemos de mirar en las nubes y echemos un vistazo a nuestros bolsillos