Esta es una pregunta que surge a menudo en los diferentes foros y que me han planteado en muchas reuniones. La respuesta es “depende”, depende de la información que contengan y depende de cuánto se valore.

Una vez más deberíamos poner en la balanza los costes de una solución de cifrado, despliegue, mantenimiento, etc y del otro lado las pérdidas que podrían causar la fuga de esa información.

Es cierto que los casos de robos/pérdidas de equipos de sobremesa son mucho más puntuales que los casos en portátiles, pero el hecho de que sean menos los casos no significa que sean menos peligrosos, al contrario, un robo de un equipo de sobremesa no es al azar sino que consisten en robos dirigidos para obtener la información que contenía ese equipo.

Así, si un equipo tiene información sensible que valoramos para nuestro negocio, éste debería ser cifrado para evitar cualquier tipo de uso fraudulento.

Vicente Perez, experto preventa en cifrado de Sophos, nos comenta la última noticia venida del otro lado del charco sobre el robo de un equipo de sobremesa:

<<La semana pasada nos sorprendía la denuncia por parte de INDEC  (Instituto de Estadísticas y Censos de la República Argentina), del robo de componentes de ordenadores con información confidencial.

Al iniciar la jornada los empleados que realizan las encuestas permanentes de hogares (EPH) se encontraron con los dos equipos que guardaban la información de estas encuestas destrozadas y sin sus discos duros.

Según afirma la noticia  “No parece una selección al azar: una computadora era de la jefa de muestreo y otra de la coordinación de relevamientos, entonces, incluía por su puesto, información de todo tipo incluyendo información confidencial para el gran público”.

Esto demuestra que es gente que conoce el funcionamiento y la rutina de estas oficinas,  según se apunta, podrían ser o haber ayudado los propios trabajadores, que han denunciado  su malestar por la manipulación de estas estadísticas.

La situación económica y laboral que estamos viviendo en nuestro país podría darnos algún titular similar. Este hecho no es algo aislado y remoto, en España (poco dados a divulgar este tipo de noticias) también contamos con algún caso en los últimos años.

Sirvan algunos ejemplos como los de Palencia o de Sevilla

Pienso, sinceramente, que últimamente se ha avanzado mucho en la protección de datos en dispositivos móviles: portátiles, USBs…  pero ¿qué ocurre con los equipos de sobremesa?

Somos conscientes de que podemos perder o nos pueden robar un portátil, puesto que es algo que sale de  nuestra oficina, está en la calle.

Pero realmente lo que está dentro de la oficina, ¿está seguro?

Se me ocurren varias soluciones:

  1. Blindemos la oficina: Deberíamos definir políticas de seguridad física, controlar quien entra y con que material / dispositivos. Este control debería ser 24 x 7. Esta política se sigue actualmente en muchas oficinas, estoy seguro que muchos de vosotros habeis  “sufrido” los controles de seguridad de alguna empresa cuando visitáis una oficina.

Lo cierto es que la práctica es común para visitantes externos, pero ¿qué ocurre con el personal interno?.

Realmente,  ¿es práctico hacer pasar todas las mañanas a todos los empleados por el detector de metales?, ¿cuánto tiempo necesitaríamos para llevar a cabo este control en empresas con un número de empleados importantes?

Por otro lado deberíamos controlar todos los puntos, hoy en día muchas empresas tienen delegaciones, es probable que la sede central cuente con un equipo de seguridad física pero, ¿qué ocurre con pequeñas delegaciones?

Es fácil que delegaciones centrales de gobierno o ayuntamientos de grandes ciudades tengan implantados estos mecanismos de seguridad pero, ¿y un ayuntamiento pequeño donde también tenemos equipos e información protegida por la LOPD? ¿Está protegido? Lo mismo sucede con hospitales y centros de salud.      

       2. Colguemos nuestra información en la nube y blindemos “la nube”. El primer paso es consensuar que es la nube, puesto que cada proveedor lo define de forma distinta. Para el tema que tratamos  sólo nos sirve una definición en la que no almacenemos información en los endpoint, si guardamos información en los puestos y en la nube, estamos duplicando el problema.

Por supuesto deberíamos proteger las comunicaciones entre nube y endpoint. Además definir medidas de seguridad física y lógica para la nube, deberemos controlar el acceso a los recursos físico sobre los que se monta esta nube.

En este caso reducimos el problema en cuanto a seguridad, puesto que sólo debemos proteger un punto pero estaríamos hablando de un  concepto de nube muy evolucionado, a día de hoy veo difícil que la totalidad de una mediana/gran empresa pueda trabajar con terminales sin disco atacando a los servidores de la nube.

      3.-Blindemos la información: Si lo que queremos proteger la información tiene sentido que centremos los esfuerzos en proteger únicamente la información. Independientemente del medio o dispositivo donde se almacene.

Si perdemos un portátil o una llave USB con información y esta está blindada únicamente perderemos el hardware, si alguien entra en una oficina y extrae un disco duro de algún equipo o el equipo en sí, no tendrá acceso a la información que hay en este disco. Si alguien accede al tránsito de información  entre endpoint y nube, si está información está blindada, no le servirá de nada.         

Este último planteamiento parece el más lógico y desde luego valdría para el modelo actual y todos aquellos que puedan llegar en un futuro>>

Mi experiencia me ha demostrado que los equipos de sobremesa de los directivos de grandes empresas, ministros, y otros altos cargos están cifrados, ahora bien ¿cuánto valoras  los datos de tu PC?