El artículo analiza las consecuencias accesorias de padecer una brecha de seguridad en el seno de la empresa, entendida como una eventualidad que puede influir muy negativamente la confianza que los consumidores depositaban en la entidad, hasta el punto de amenazar su misma supervivencia.
Que la información es uno de los activos más importantes para la vertiente productiva de cualquier empresa es algo fácilmente intuible. No hay nada más lógico: para llevar a cabo su objeto social, una empresa necesita repositorios de información sobre clientes, proveedores, ciclo logístico, campañas de promoción externa, software para mejora y desarrollo de producto final, control de calidad, stocks, etc. La merma de cualquiera de estos activos acarrea consecuencias perjudiciales por sí mismas en el ciclo productivo. Así, pues, si se corrompe un archivo que contenía, p. Ej., el plan de mejoras técnicas de producto proyectadas para el año en curso, el perjuicio es evidente y palmario. Si se corrompe la base de datos de clientes sucede exactamente lo mismo, y así sucesivamente.
Pero hay casos en que a la merma que ya supone por sí misma la destrucción o difusión incontrolada de un documento restringido se une una merma secundaria añadida, que es el impacto reputacional entre los consumidores. Un ataque informático que facilitara el acceso incontrolado por internet al listado de clientes de una empresa sería algo fatal en este contexto. Sobre todo en caso de tratarse de una empresa en cuyos productos o servicios se valora la confidencialidad de su contratación. Y no menos preocupante es que la combinación numérica de nuestra tarjeta de crédito llegue a manos equivocadas. Y es que en todos estos casos, la mala reputación que el público inmediatamente atribuirá a la corporación afectada es lo que más lamentará la gerencia.
Un símil que suele usarse a menudo en el sector de la seguridad informática es que la confianza llega al paso de una tortuga, pero marcha a la velocidad del galope de un caballo. Luego, el impacto reputacional de una brecha de seguridad puede ser tan grande que la entera supervivencia de una empresa dependa de cómo lo haya gestionado.
Cuando se acomete un plan de seguridad de la información en la empresa, es esencial valorar el impacto reputacional que tendría la vulneración de la confidencialidad, disponibilidad e integridad de cada activo. En definitiva, un sistema de gestión de seguridad de la información consiste en aplicar la regla del 80/20 a la gestión de los activos de la empresa. De algún modo, se trata de destinar el 80% de los esfuerzos para asegurar el 20% de activos más relevantes de la organización. Y la relevancia de cada activo se mide analizando qué perjuicio entrañaría la conculcación de la confidencialidad, integridad y disponibilidad del mismo.
La prensa reciente da buena cuenta de casos en que grandes sociedades han sufrido importantes mermas reputacionales al filtrarse información confidencial de sus clientes, especialmente números de tarjetas de crédito. Pero también son numerosos los casos en que se ha accedido a información estratégica y planes de expansión de empresas competidoras mediante ataques de intrusión, o sofisticados sistemas de ingeniería social.
A la hora de valorar la vulnerabilidad de un activo ante estas sofisticadas formas de ataque hay que tener en cuenta todos los factores de exposición. La imaginación de los perpetradores no tiene límite, especialmente en lo que refiere a los ataques de ingeniería social. Los atacantes pueden simular ser trabajadores de la propia empresa, peones de mantenimiento que acuden a las instalaciones para hacer reparaciones del cuadro eléctrico, mensajeros o personal de limpieza.
De ahí que el desarrollo de planes continuos e integrales de formación a empleados y, ante todo, concienciación, en materia de seguridad de la información sea de una importancia vital para asegurar la efectividad del sistema. De algún modo debe conseguirse que la suspicacia del personal propio se anticipe al ingenio con que seguramente irrumpirá el ataque social.
Por otro lado, la formación en medidas de seguridad físicas y lógicas es crucial para minimizar ataques oportunistas. Conductas lamentablemente tan cotidianas como la elección de contraseñas previsibles o poco robustas, o la compartición de las mismas entre varios miembros de un mismo departamento sólo hace que abrir puertas a los intentos de intrusión.
Todo el personal debe ser consciente de que maneja información confidencial o información que en caso de ser filtrada supondría una seria merma para la entidad. Un plan actualizado de formación, auditorías periódicas y controles rutinarios son el mejor aliado para construir una sólida cultura organizativa de seguridad, de la que depende en buena medida la supervivencia de la compañía en un entorno altamente competitivo y cambiante.