Kroll, consultora global de investigaciones corporativas, mitigación y control de riesgos, asegura que el almacenamiento de información en la nube y los empleados que hacen mal uso de la información privilegiada que poseen, son algunos de los temas de mayor riesgo en ciberseguridad durante el año en curso.
La empresa indica que una de las formas más comunes de amenazas a la cadena de suministro de datos al interior de las compañías consiste en que los distintos administradores y empleados individuales de esta información en ocasiones utilizan servicios como Dropbox, iCloud o Skydrive sin siquiera notificarlo internamente en la organización, lo que significa un riesgo importante al tratarse de información sensible.
“Todos parecen estar subiendo a la nube ya que los réditos económicos son innegables” – explica Martín Elizalde, Senior Consultant de Kroll – “Pero transferir el control de la información propia o de un cliente a un tercero, proveedor de servicios en la nube, es un proceso en donde quien transfiere es responsable, aun sin poder combatir las amenazas que eventualmente aparezcan”. El experto indica que para los miembros del Directorio la información subida a la nube se puede traducir en acciones personales en su contra.
En distintas investigaciones llevadas a cabo por Kroll para diversas empresas, se ha descubierto que hay cada vez más presencia de infiltrados en las compañías que manejan información sensible y privilegiada. Sin embargo, la definición de infiltrado ha evolucionado con los años, ya que anteriormente se pensaba que era un empleado, pero actualmente se ha descubierto que incluso socios de negocio y asociados que proveen de servicios a las compañías han resultado ser infiltrados.
Hay también casos de empleados temporales, contratistas, vendedores e incluso todo un ecosistema de organizaciones que colectivamente se perfilan como infiltrados. Algunos lo hacen por la ganancia de dinero que representa la venta de información, por agenda política, “hacktivistas” o alguien que trabaja de la mano con cibercriminales.
Según la última Encuesta Global de Seguridad de la Información, el número de incidentes de seguridad informados ascendió a 42,8 millones en 2014 con un aumento del 28% respecto de 2013. El sitio The Hill reportó que en 2013 hackers robaron la identificación de 40 millones de tarjetas de crédito. El año pasado, un percance de este tipo afectó a 76 millones de datos relacionados con el JP Morgan y el incidente pasó dos meses sin ser descubierto. Tim Ryan, experto de Kroll en la materia, describió recientemente como algunos hackers se habían apoderado de información personal de 50.000 conductores de Uber.
Kroll señala que, con todo, los riesgos que representa el almacenamiento en la nube también pueden ser no maliciosos. “Hay riesgos que no son intencionales pero que sin embargo pueden provocar grandes dolores de cabeza a las empresas, como por ejemplo desastres naturales tales como inundaciones, errores humanos donde se acredita la falta de intencionalidad o negligencia, fallas tecnológicas, falta de conocimiento del personal para manejar una tecnología innovadora y la siempre presente posibilidad de un corte de energía”, indica Elizalde.
Los dos tipos de amenazas tienen algo en común, implican una falla en la seguridad de la data que compromete muchas veces no solo datos de la compañía sino también de la privacidad de quien trabaja en ella. No solo las fotos subidas de tono causan malestar, también la publicidad no autorizada de las cuentas bancarias, estados financieros o legajos médicos. Comprender la naturaleza de las amenazas, lleva a negociar un mejor contrato con el proveedor de servicios en la nube, que plasme las buenas prácticas en esta materia tan sensible.
“El origen de la responsabilidad, y de los dolores de cabeza para los miembros del Directorio, es el contrato de provisión de servicios en la nube. Hay que negociarlo y hay que auditar su ejecución continuamente: solo así se pueden prevenir los males reseñados, o al menos, controlar los daños”, concluye Matías Nahón, Managing Director de Kroll Argentina.
—
