La reciente información que
entregara la prensa del espionaje informático del que habría sido víctima una
organización gremial de nuestro país revive una constante de la que no siempre
se tiene registro en el recuerdo inmediato.
Al “googlear” la frase espionaje informático chile, se
presentan de inmediato casos además del ya citado, como los siguientes:
- En 2011, y aprovechándose que trabajaba como operador de sistemas, ---- accedió a una base datos que contenía los sueldos y funciones de los trabajadores.
- Fiscalía resolvió formalizar por estafa y sabotaje informático a sujeto que jugó Kino falso de 1000 millones por internet.
- Formalizarán a policía por obstruir investigación de espionaje informático y tortura contra estudiante.
- CDE se querella por espionaje informático tras filtración de adopciones desde servidor del Sename.
- Sobreseen investigación por presunto espionaje informático en intendencia de La Araucanía.
De los seis casos se puede
identificar claramente un esquema predominante en la extracción de información:
en 5 casos fue realizada por personas con acceso a los sistemas en que ésta
reside.
Para contextualizar, Wikipedia nos
ayuda con la siguiente definición: se
denomina espionaje a la práctica y al conjunto de técnicas asociadas a la
obtención encubierta de datos o información confidencial.
¿Es posible prevenir, controlar o
impedir este tipo de actos?
Ciertamente que es posible hacer
muy difícil la tarea a quienes desean ejecutar alguna de estas acciones.
Primero podemos citar algunas
acciones de orden institucional que siempre se deberían practicar: disponer de
códigos de conducta y políticas en seguridad de la información, las que deben
ser conocidas y aceptadas por los trabajadores – internos y externos – de la
empresa; disponer de normas y reglas claras de la administración de los
recursos informáticos, que siempre privilegien en control y la diligencia
debida. Los activos que se almacenan en las bases de datos estar siempre bajo
resguardo y de acceso controlado, tanto en sus versiones actuales como
anteriores. Es el caso de la información contable y financiera, de recursos
humanos, de clientes y los productos, valores y condiciones de venta, de proveedores
y los materiales y las condiciones de compra, las recetas de producción de
productos en proceso y terminados, y así muchos otros.
En el contexto técnico, estando bien
definidas las anteriores, desarrollar las normas técnicas alineadas con éstas y
aplicando las buenas prácticas, permitirá mantener a los usuarios con el mínimo
privilegio actualizado.
La fuga de información se puede presentar en distintos componentes de
la plataforma tecnológica de una empresa: sistemas de correos, sistemas de
almacenamiento centralizado de documentos y los sistemas computacionales como
el caso de SAP.
Un check list básico que nos ayudará dimensionar el nivel de exposición
a fuga de información en el landscape
de SAP:
- ¿El sistema SAP QAS que se actualizada periódicamente con SAP PRD deja los datos sensibles (nuestros activos) disponibles?
- ¿Al sistema SAP QAS los usuarios – funcionales y técnicos – tienen restricción en los accesos?
- ¿Cuantos usuarios tienen acceso al maestro de proveedores y al registro Info de éste?
- ¿Cuantos usuarios tienen acceso al maestro de clientes y al registro Info de éste?
- ¿Cuantos usuarios tienen acceso al maestro de materiales – materias primas, insumos, semi elaborados y terminados – y al registro Info de éste?
- ¿Cuantos usuarios tienen acceso al maestro de recursos humanos y a la información de sueldos?
- ¿Cuantos usuarios tienen acceso a la información de contable y financiera?
Nota: el
concepto acceso está referido a su nivel más básico: consulta de la
información.
Cualquiera de estos puntos son de
la mayor criticidad a resolver y, a la pregunta del paso siguiente, pueden
buscar en anteriores blogs o simplemente nos pueden contactar.
