La filtración de datos del G-20: ¿cómo evitar el error humano?

Enojar a las 20 personas más poderosas del mundo nunca es buena idea. Las consecuencias de un error humano pueden ser tan graves como las filtraciones de datos por ataques externos.   Por Rainer Gawlick “Errar es humano, perdonar es divino.” En Australia, un empleado del Departamento de Migración del país debe estar rogando que las autoridades locales sean fieles creyentes en esa frase célebre del poeta británico Alexander Pope. Lo anterior, después de que el mes pasado surgieran noticias de que un empleado de dicha entidad accidentalmente envió por correo electrónico los detalles personales de todos los líderes del G-20 a una persona no autorizada, y con ello puso en riesgo información de nombres, fechas de nacimiento y detalles de los pasaportes y visas de algunos de los líderes más poderosos del mundo, incluidos Barack Obama, Angela Merkel, David Cameron y Vladimir Putin. La brecha informativa se debió a un error humano, cuando al redactar un correo electrónico, el empleado no revisó bien que la función de autocompletar nombres de Microsoft Outlook le generó un destinatario equivocado, y envió el correo sin fijarse en ese importante detalle. La mayoría de los problemas surgidos por filtración de datos e información son originados por ataques de hackeo o pirateo, mientras que la mayoría de los incidentes donde se reportan pérdidas de datos e información, de hecho son resultado de errores humanos. Generalmente, estos casos no se reportan, o cuando al fin salen a luz, no se reportan lo suficiente, posiblemente porque evocan la imagen de algún oficinista descuidado y no la de un perverso hackeador operando desde un oscuro sótano. Sin embargo, como bien lo demuestra el caso australiano, las consecuencias de un error humano pueden ser tan graves como las filtraciones de datos causadas por ataques externos. Aunque las empresas invierten millones en defenderse de un ataque externo, también es cierto que el riesgo planteado por un empleado poco cuidadoso es importante, y éste es un aspecto que a menudo no se toma en cuenta. Claro, es una noción incómoda, pero el hecho es que a la hora de compartir datos o colaborar, los empleados frecuentemente violan las políticas de la empresa y no siguen las políticas. Por ejemplo, el instituto de investigaciones Ponemon ha llegado a demostrar que cerca de un tercio de los encuestados (32%) indican que más de la mitad de los empleados en sus organizaciones generalmente intercambian archivos más allá de las fronteras naturales de la empresa o de los firewalls que la protegen. Es preocupante, pero las medidas de seguridad creadas para proteger contra este tipo de situaciones, generalmente no son las adecuadas. En esta misma investigación, el Instituto Ponemon demuestra la escala del problema que representa el error humano. El 61% de los encuestados admiten que a menudo o frecuentemente mandan correos sin cifrar, no siguen las políticas en torno de la eliminación de documentos o utilizan herramientas personales para compartir archivos y aplicaciones de almacenamiento donde a fin de cuentas colocarán activos empresariales y que accidentalmente han enviado archivos a personas no autorizadas. En el estudio, las prácticas riesgosas para compartir archivos figuraron de manera importante y la causa de este comportamiento también fue identificada. Factores causales altos incluyeron negligencia e ignorancia deliberada de las políticas internas. Ante esto, una respuesta podría ser educar al empleado acerca del riesgo; sin embargo, una medida así solamente llega hasta cierto punto, porque no resuelve el problema de los errores genuinos. Los seres humanos pueden equivocarse, cometemos errores. Entonces, aunque la educación sea un paso en la dirección indicada, aquí la pregunta verdadera es, ¿qué otra cosa se podría hacer para erradicar este tipo de situaciones? La respuesta está en combinar estrategias enfocadas al usuario, como por ejemplo capacitaciones especificas en la protección de datos, con soluciones tecnológicas. Existen soluciones avanzadas de colaboración que ahora ofrecen una función de “no compartir”, con la cual se anula el acceso a archivos compartidos, independientemente de dónde hayan quedado o de cuántas veces un documento se haya copiado o compartido. Esta función también sirve como mecanismo de resguardo para facilitar la colaboración y el intercambio seguro de archivos. Así se puede tener la tranquilidad de que en caso de retractar un documento por algún motivo, cualquier instancia del mismo queda destruida con un clic. Es poco realista querer eliminar el error humano por completo. Sin embargo, en un mundo donde las organizaciones necesitan la libertad de intercambiar y compartir datos y documentos críticos por internet, es reconfortante saber que existen controles que protegen en contra de los errores inevitables de los usuarios o controles que dan a las organizaciones control absoluto sobre sus activos todo el tiempo, dondequiera que se alberguen sus datos. Este reciente caso de filtración de datos debería motivar a las organizaciones a fortalecer sus controles técnicos en esta lucha permanente en contra del error humano. Naturalmente, enojar a las 20 personas más poderosas del mundo nunca es buena idea, pero incluso con la exposición al riesgo claramente expuesta por la anterior anécdota, no dudemos que pronto, en algún lado y en algún momento, la situación se volverá a repetir.   Rainer Gawlick es vicepresidente ejecutivo de Intralinks. Trabajó cuatro años para McKinsey and Company. Además ha tenidos numerosas posiciones ejecutivas y como consejero en organizaciones del sector de la tecnología. Rainer cuenta con una licenciatura en física por la Universidad de California en Berkeley, y un doctorado en ingeniería eléctrica y ciencias de la computación del MIT.   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.