Hola,
Os dejo un enlace a un buen artículo del amigo Joseba, en el que se habla del riesgo de las memorias USB. Aprovecho también para recomendar que sigáis su blog, ya que está repleto de contenidos interesantes.
Al igual que Joseba pienso que el problema que suponen hoy en día los medios de almacenamiento portátiles, ya sean pendrives, discos duros o cualquier otro medio, como un teléfono inteligente, es bastante importante. Al final cualquier medio con capacidad de almacenar información es susceptible de ser utilizado errónea o maliciosamente, poniendo en peligro sus contenidos, con lo que al reducir a riesgo da igual hablar de una u otra tecnología: la raíz del problema es la misma.
Dejando a un lado el hecho de que estos medios pueden ser empleados para provocar infecciones por malware, quiero hacer especial mención a los eventos de sustracción y extravío de medios portátiles no cifrados que contienen información no pública. Este problema no es nuevo, ya que el uso de estas tecnologías ha aumentado dramáticamente desde que años atrás se comenzaran a ver las primeras memorias USB, y por consiguiente, por una mera cuestión probabilística, los incidentes han aumentado en un modo paralelo.
Lejos de perder importancia, la incorporación de teléfonos inteligentes, discos portátiles de reducido tamaño y de alta capacidad no ha hecho sino acrecentar la problemática. Entre tanto la mayoría de las organizaciones no se ha molestado en analizar y tratar el problema, y en la mayoría de los casos los comités se han limitado a llevarse las manos a la cabeza y rechazar soluciones ante los gastos derivados de la adopción de tecnología de almacenamiento portátil cifrada y segura. En otros casos las soluciones se han basado en la monitorización y bloqueo de estos dispositivos, o en redactar una política de uso. Trsitemente, en un número considerable de ocasiones, simple y llanamente, se ha mirado para otro lado.
Por lo que he podido comprobar durante estos últimos años creo que la gran mayoría de las organizaciones no tiene este problema bajo control. No se trata ya de medidas de bloqueo, monitorización o de políticas de seguridad. La mayoría ni siquiera tiene clasificada su información, con lo que es imposible gestionar bien la problemática de su revelación. Si no sabes lo que es verdaderamente relevante para tu negocio, ¿cómo pretendes protegerlo? ¿cómo pretendes priorizarlo? Todavía peor lo tienen los que quieren matar moscas a cañonazos relegando todas sus medidas a la puesta en funcionamiento de tecnologías DLP para la prevención de fuga de información que a la postre, bien sea por su inmadurez o por su errónea configuración, sólo sirven para cazar esporádicamente a los desalmados que se han enviado dos documentos Word con listas de clientes a sus correos personales, dejando sin resolver un elevado porcentaje de fugas.
Este problema tiene solución. La tecnología cifrada, aunque no es económica, está justificada en muchos casos, provocando una reducción de los riesgos significativa. Para el caso de telefonía inteligente, los medios cifrados y que permiten operación remota en caso de compromiso están a la orden del día con costes asumibles para la mayoría. Las soluciones de monitorización que detectan el uso de medios no autorizados se han consolidado en los últimos años y son bastante más accesibles que antaño. Desarrollar y fomentar el uso de una política de clasificación de la información es tedioso y requiere un esfuerzo relevante en materia de formación, pero no es inalcanzable. Cualquier pequeño paso vale, pero no aceptemos cruzarnos de brazos en materia de protección de nuestros activos.
Aunque yo no soy partidario de restringir el uso de almacenamiento portátil en las organizaciones, porque en muchas ocasiones son necesarios para la productividad del empleado, comprendo que en ciertos segmentos es necesario acudir a soluciones drásticas de bloqueo por la extrema gravedad que puede acarrear una fuga. En estos casos la adecuada gestión del terminal en combinación con medidas de seguridad física deben ser suficientes. También comprendo que cada organización al final hace lo que estima conveniente, con lo que si se produce una prohibición de los medios hay que aceptarla. Lo que ni entiendo ni acepto es comprobar que no se hace nada.
Este es un problema que puede tratarse y que bien tratado, reduce los riesgos de una manera importante. ¿Por qué dejarlo a un lado?
Un saludo,
Sergio,
La pregunta es: ¿Cuánto costaría implementar una política de discos cifrados? Es decir: USB o disco duro no cifrado por la compañía = Dispositivo no reconocido/rechazado por el sistema.
¿Es realmente tan difícil?
Un abrazo,
Paquito.
Paquito,
Es relativamente económico. No quiero aventurarme a dar cifras, porque todo depende del despliegue, pero esto es algo que desde hace un cierto tiempo ofrecen más y más compañías, con el consiguiente abaratamiento.
La parte más complicada es, como siempre, la correcta implementación y definir claramente quién es el responsable del servicio y bajo qué premisas.
Mi opinión es que no es tan complicado.
Saludos,
Hola, Sergio.
La verdad es que todos los temas corporativos van muy despacio…
Otra posibilidad es facilitar a los empleados un USB que disponga de mecanismos de encriptado propios en el propio disco. Además, esto evita la necesidad de instalar software en el puesto cliente.
Corsair dispone de pendrives USB que encriptan la información internamente. Podéis leer una prueba en http://techreport.com/articles.x/18537 . Es algo más caro que un pendrive normal (en newegg.com uno de 8GB cuesta 50USD) pero para temas personales puede ser útil.
Un abrazo
Gracias por los comentarios… Y por la cita. Llama la atención ver el «efecto Sergio Hernando» en las visitas al blog… Jeje!
Joseba,
Tener 20 visitas más de lo normal no es un «efecto» :)
Gracias a tí por tus aportaciones.
Un abrazo,