A los ojos de algunas personas, el informante de la NSA, Edward Snowden, es un héroe que filtró a los periodistas información acerca de las operaciones secretas de vigilancia patrocinadas por el Estado, avivando el debate global sobre la privacidad. Pero desde el punto de vista de su empleador, no resultó ser un empleado modelo.

Snowden era un subcontratista de la firma consultora de tecnología Booz Allen Hamilton que trabajaba en una oficina de la NSA cuando comenzó a hacer copias de documentos ultra secretos y a construir un descomunal expediente de evidencia de las operaciones de vigilancia nacional e internacional de los Estados Unidos. En resumen, se considera que Snowden extrajo aproximadamente 1.7 millones de documentos sin autorización, y los titulares aún dominan los medios y espacios informativos.

En el centro de esta historia se encuentra la NSA, la Agencia de Seguridad Nacional; la organización de inteligencia se encargó no solo de reunir inteligencia extranjera, sino que también es responsable de proteger los sistemas de información gubernamental de los EE. UU.

El hecho de que la NSA no pudiera proteger correctamente sus “joyas de la corona”, los archivos confidenciales en el centro de sus operaciones, debido a un descuido de seguridad, es al mismo tiempo reprochable y profundamente humillante.

Después de todo, si la NSA no puede mantener sus propios secretos lejos de la mirada del público, ¿qué dice eso de su capacidad de asegurar adecuadamente los datos y la información confidencial que podría recopilar sobre mí, usted, las empresas o posibles terroristas?

Y no fue necesaria una potencia extranjera para robar la información, o un equipo experto de cibercriminales. Lo único necesario fue un contratista externo descontento, joven y muy conocedor de la tecnología.

El desafío es, por supuesto, que la NSA debe algunas veces compartir información confidencial, ya sea con su propio personal, contratistas expertos, o agencias de fuerzas públicas internacionales con las cuales coopera. Y, de la misma manera, su empresa probablemente deba compartir datos confidenciales entre los empleados, los socios externos, los contratistas, los abogados, y demás.

Si los profesionales de la seguridad imponen muchas restricciones a la colaboración, no se puede llevar a cabo el trabajo y las empresas sufren. Nadie quiere que la seguridad se interponga en la estabilidad de su empresa para hacer negocios. Pero más que esto, si las medidas de seguridad se interponen en la capacidad de los trabajadores de realizar su trabajo, podrían adoptar servicios de uso compartido de archivos para consumidores que les faciliten la vida, pero potencialmente pongan en peligro la seguridad. Por lo tanto, se debe encontrar un equilibrio.

¿Cómo deberían las empresas administrar la información confidencial?

Mi recomendación para las empresas es que, para reducir la amenaza de una infracción de seguridad de los datos, controlen más estrictamente tanto el acceso a la información confidencial como como su movimiento “sin” interponerse en el trabajo legítimo que se debe realizar.

¿A qué me refiero con esto?

Bueno, en primer lugar, los profesionales de la seguridad “sí” deben asegurarse de que los elementos fundamentales estén instalados: software antivirus, firewalls, control de acceso y revisiones de seguridad actualizadas. Y las empresas deben configurar correctamente sus redes para limitar la autoridad de los administradores de sistemas (especialmente si son personal externo contratado) y para determinar a qué área de datos pueden acceder sin aprobación de un superior.

Pero las empresas también deberían controlar el área expuesta a vulnerabilidades de TI. Añadir continuamente tecnologías que suelen superponerse crea complicaciones que resulta imposible de administrar. Se pueden instalar tecnologías para escanear archivos mientras un usuario intenta copiarlos a un disco duro portátil o un dispositivo USB, o cuando intenta enviarlos a una cuenta de correo web. Estas medidas se pueden adoptar para determinar si este comportamiento está permitido o si la información es confidencial; enviando una alerta al departamento de TI y ofreciendo la opción de bloquear el comportamiento. Resulta mucho más sencillo invalidar tecnologías antiguas (como la copia a un CD o disco USB) e instalar una solución para uso compartido de archivos de la empresa con todas las funciones de control incorporadas, que implementar el escáner y los motores de reglas descritos anteriormente.

No obstante, esa solución específica para evitar el mal uso de los datos no funcionará correctamente al compartir información confidencial con otras empresas con redes propias, que no se encuentran bajo su control. Es por este motivo que cada vez más organizaciones exploran las soluciones de uso compartido de archivos entre empresas que no se interponen en la colaboración sino que pueden mitigar los riesgos de seguridad cuando los datos se usan fuera de la red de la empresa.

Estas soluciones permiten que las empresas controlen (dentro y fuera de la organización) quién puede acceder a la información confidencial y si esta información se puede guardar o imprimir. En algunos casos, incluso pueden evitar que un usuario realice capturas no autorizadas de la información en la pantalla. Y, fundamentalmente, las mejores soluciones le permiten “dejar de compartir” información que compartió previamente para evitar que se pueda acceder a ella una vez que se completa un proyecto o si ya no es necesaria.

El encanto de esta metodología es que las empresas pueden saber todo lo que sucede con los datos, registrar quién accede a la información y cuándo, y controlar cómo se intercambia y trabaja en ese contenido.

A fin de cuentas, si trabaja con una persona como Edward Snowden que está dispuesto a desenmascarar todos sus secretos, no son muchas las empresas que pueden hacer algo para detenerlo. Pero las empresas pueden hacer menos probable que los empleados tengan un disco USB repleto de información confidencial que estén ansiosos por entregar a los medios o vender a la competencia.