Ingeniería social: cuando la cadena de seguridad se rompe en el usuario

Hace unas semanas diversos ayuntamientos de la Comunidad de Madrid denunciaban el robo de ordenadores en diferentes dependencias municipales: concejalías, aulas de informática, etc. Se lamentaban sobre todo porque la inversión que han hecho en el material informático es importante. Eso sí, algunos habían hecho copias de seguridad de la información y habían pintado los ordenadores con pintura plástica para que fuera más difícil revenderlos. Sin embargo, apenas se referían a los datos de los ciudadanos que custodiaban: saben que la Agencia de Protección de Datos les está vigilando.

Como ejemplo también, hace unas semanas, Ameriprise Financial, una empresa asociada de American Express, reconocía que un empleado ha perdido un ordenador portátil con datos de 230.000 personas. Esta información está guardada de tal modo que cualquiera que encuentre el ordenador y lo encienda, tendrá acceso a ella.

Recordemos que los datos financieros de personas son datos protegidos por el nivel 2 según la legislación española (LOPD): estos datos, como mínimo, deberían estar encriptados con una contraseña; y el ordenador, sujeto a un local con unas medidas de seguridad especiales.

¿Cómo evitar que esto pase en su empresa?

En primer lugar, no deje que haya ordenadores portátiles con esos datos. Puede sonar tremendista, pero estamos hablando de tarjetas de crédito, cuentas corrientes, números de seguridad social, domicilios… Piense en la tremenda multa que le puede poner la Agencia de Protección de Datos, aparte de posibles demandas privadas de las personas afectadas que sean perjudicadas por este error.

En el plano práctico, todos estos datos deberían estar en un servidor con las medidas de seguridad físicas y lógicas necesarias para garantizar la seguridad. Después, todos los ordenadores se conectarían al servidor con su contraseña correspondiente, y transmitiendo la información de forma segura.

El peligroso hábito del “no pasa nada si…”

Con la guardia baja, la Ley de Murphy se cumple: “si algo malo puede ocurrir, ocurrirá”. Ya sea por fallos pasivos (dejar las contraseñas apuntadas en post-it) o por fallos activos (instalar programas con vulnerabilidades de seguridad), los usuarios generan gran parte de los problemas de seguridad.

La solución pasaría por cumplir con la LOPD. Muchas veces se ve esta ley como un engorro obligatorio, pero no podemos olvidar el gran favor que hace a las empresas (y a las personas cuyos datos custodian). Un gran favor porque les obliga a ser seguros.

Las herramientas informáticas que posibilitan esta seguridad no son ni caras ni desconocidas, pero no suelen tomarse en cuenta hasta que pasa algo. Por ello, le invitamos a que estudie algunas soluciones para mantener sus datos seguros: cumplimiento con la LOPD, Configuración segura de Redes, Antivirus actualizados, Formación, CRM centralizados y Backup Remoto, entre otras.