Soy aficionado a la serie de documentales de National Geographic llamada «Mayday: catástrofes aéreas«, que analiza las causas de los desastres aéreos. El motivo de mi aficción a estos documentales se lo preguntaré a mi psicoanalista, pero el caso es que me gustan… y además, se aprende.

En un episodio de la décima temporada (podéis verlo aquí), se analizan las causas de un accidente aéreo en el cual, aparentemente, no hay explicación alguna para el desastre.

Spoiler: si no quieres saber las causas, no sigas leyendo.

La causa del accidente resultó ser el acto voluntario del piloto que estrelló el avión.

¿Qué tiene que ver esto con la Seguridad de la Información?

Cuando se trata de seguridad, siempre hay que aprender de las cosas que han ido mal, incluso en áreas que, aparentemente, no tienen que ver con nuestra empresa.

El fallo de seguridad fue debido, en ese caso, a un denominado Inside Job. No me refiero a la canción de Pearl Jam, sino a que el desastre fue causado por una persona interna a la organización.

Si trasladamos este accidente a la práctica empresarial, todos conocemos casos en los que un trabajador, voluntaria o involuntariamente, ha causado pérdidas de la información. Evidentemente, el daño causado es inferior al del ejemplo del documental, pero existen elementos comunes.

  1. Los problemas de seguridad pueden venir de dentro
  2. Han fallado los controles internos sobre el personal

Sobre el primer punto, existen exhaustivas estadísticas que demuestran este dato. Por ejemplo, el Centro de Seguridad TIC de la Comunidad Valenciana afirma que el 63% de los problemas de seguridad es causado por fallos internos. El dato es de 2012, pero no creo que hayan cambiado mucho las cosas desde entonces.

El segundo punto se explica por sí mismo. Entonces, ¿qué debe hacer una empresa para evitar estrellarse?

Una política adecuada de Seguridad de la Información puede disminuir los riesgos de una voluntaria o involuntaria fuga de información. Lógicamente, esta política debe adecuarse al análisis de los riesgos (Risk Analysis) para cada uno de los trabajadores que acceden a los datos de la empresa. No se adoptarán las mismas medidas de seguridad para un tesorero, por ejemplo, que para un encargado del almacén.

Lo que no podemos hacer es esperar a que nunca pase nada porque «Shit happens«. Si no, preguntadle a esa empresa que descubrió (gracias a una acertada política de seguridad) que uno de sus transportistas encargados del reparto había perdido todos los puntos de su carnet de conducir…

shit_happens