Sólo una semana después de golpear los titulares, el escándalo de los Papeles de Panamá ya se ha ganado el puesto como la mayor fuga de datos de la historia. Los 2,6 terabytes de datos robados eclipsan incluso WikiLeaks y ya ha producido la renuncia de un líder mundial.
Todas las organizaciones toman esta violación como un ejemplo claro de la amenaza a que se enfrenta cualquier organización respecto a la seguridad de su información sensible y confidencial.
A pesar de que inicialmente parecía ser el trabajo de un denunciante interno de la empresa, el foco se ha desplazado ahora a un a un hackeo externo de grandes proporciones. Las empresas que buscan evitar filtraciones de datos pueden tomar este caso como una señal para centrarse en medidas para mantener alejados a los intrusos, pero no deben perder de vista las amenazas dentro de su organización.
The informe “Insider Threat Spotlight” realizado por Watchful en 2015 encontró que el 62 por ciento de los profesionales de la seguridad creían que las amenazas internas se habían vuelto más frecuentes en los últimos 12 meses, y algo menos del 50 por ciento de los encuestados cree que sus organizaciones carecían de los controles para prevenir los ataques internos.
El año pasado, por ejemplo, un asesor junior en Morgan Stanley fue capaz de robar datos de más de 350.000 clientes, muchos de los cuales terminaron filtrándose en Internet. Más recientemente varios empleados de compañía farmacéutica GlaxoSmithKline, incluyendo un investigador senior, fueron acusados por el robo de una investigación médica secreta de alto valor con la intención de venderla.
Con amenazas de ambos lados, la verdad es que las empresas no pueden permitirse el lujo de pensar en términos de amenazas externas o internas – una buena política de seguridad debe cubrir todos los riesgos al mismo tiempo.
Utilizando un enfoque de control de acceso basado en roles (RBAC), por ejemplo, puede asegurarse de que todos los archivos están protegidos de cualquier mal uso, independientemente de donde venga la amenaza. RBAC bloquea los archivos mediante su encriptación y la concesión de acceso sólo a los usuarios autorizados.
Debido a que los archivos están encriptados, no importa si hay un incumplimiento por parte de un hacker externo, una fuga intencionada para fines maliciosos o de denuncia, o un simple error bienintencionado. Independientemente de si se envía por correo electrónico, un USB o por medio de un corte de red, sin la autorización del sistema el uso de los datos se vuelve completamente inútil para cualquier persona que lo recibe.
Sin embargo, ninguna tecnología de seguridad debe trabajar de forma aislada y RBAC va mano a mano con la clasificación de los datos, ya que sólo funciona si los archivos se han clasificado y se asigna a los diferentes usuarios diferentes permisos y niveles de acceso. La evaluación y el etiquetado de todos los archivos en la red de forma manual, por supuesto es una utopía, pero con el software adecuado se puede clasificar la información de forma automática, así como garantizar que todos los datos actuales y futuros se clasificaran en el momento de crearlos.
Este enfoque también dota a las empresas de gran flexibilidad, lo que permite asegurar los archivos clave sin afectar el flujo de trabajo de la organización. Los archivos se pueden bloquear u ocultar por completo, ser sólo de lectura, no se pueden mover o modificar, o completamente abiertos, dependiendo del nivel de acceso de cada trabajador. Se necesita una mano firme para hacer una política de datos como esta, y el mejor enfoque es bloquear para todos cualquier archivo que pueda causar daño financiero o de la reputación excepto para el personal que debe manejar dicha información.
El caso Mossack Fonseca es una llamada de atención para todas las empresas sobre sus políticas de protección de sus datos sensibles, especialmente en las sus áreas de alto riesgo. Tomar medidas con la tecnología y la política adecuada para asegurar los datos sensibles, contra cualquier tipo de amenaza, podrán evitar convertirse en el próximo titular.
Por Rui Melo Biscaia
Director de Gestión de Producto
Whatchful Software
