A pesar del amplio uso de servicios en la nube como Dropbox o Google Drive, a veces una antigua y práctica unidad de memoria USB es la forma más rápida de mover grandes cantidades de datos de una computadora a otra. Pero imagínate si un día vas a trabajar y descubres que todas las unidades USB han sido prohibidas en las instalaciones. Eso es precisamente lo que podría suceder en IBM.
Una nota filtrada recientemente indicó que IBM prohibirá a todos los empleados utilizar unidades USB. Esta decisión puede ser comprensible, dado el estado actual de seguridad cibernética, pero ¿es realmente la estrategia más efectiva?
¿Una solución rápida?
El gerente de marketing de la compañía Kingston, una de las mayor fabricantes independientes de productos de memoria digital, Rubén Lugo, dijo a Digital Trends que este tipo de políticas pueden perjudicar a una empresa mucho más de lo que podrían ayudar.
«Las empresas no buscan aplicar los recursos correctos desde el principio», dijo. «Siempre es buscar la solución rápida, y generalmente eso gira en torno a la prohibición de cosas. Hemos descubierto que eso realmente obstaculiza la productividad y la eficiencia que la fuerza de trabajo móvil necesita».
Se dice que el motivo de la prohibición de USB por parte de IBM es reducir los casos de pérdida de datos, ya sea una filtración deliberada de información o a través de un hardware extraviado. Nos comunicamos con IBM para que comente sobre la prohibición, pero no hemos recibido una respuesta. Pero de cualquier manera, Lugo cree que prohibir las unidades externas no evitará que las personas obtengan datos de la compañía si lo desean o necesitan.
«Donde hay voluntad, hay una manera», dijo. «La gente simplemente comenzará a usar su propio Dropbox, o su propio Google Drive, y luego comenzará a circunvalar los firewalls de protección, y realmente solo están creando otro problema».
Cuidando la privacidad de los usuarios
En los últimos años, se han registrado algunos de las fugas y violaciones de datos más grandes de la historia, lo que ha dejado a cientos de millones de personas vulnerables al robo de identidad, la explotación, e incluso la manipulación política. Eso ha llevado a que muchas empresas e individuos tomen más en serio la privacidad y la seguridad de los datos en línea, e incluso han traído a los políticos a la mesa para discutir cómo esta situación puede mejorar.
La gente simplemente comenzará a usar su propio Dropbox, o su propio Google Drive, y luego comenzará a circunvalar los firewalls de protección.
Pero no todas las prácticas para hacerlo son necesariamente recomendadas. Se puede argumentar que prohibir las unidades USB es una manera fácil de detener las fugas, y que hace que el robo de datos sea más difícil. Pero algunos argumentarían que tal política meramente abre a las empresas como IBM a nuevas avenidas de ataque, y no llega a la raíz del problema, que es la vulnerabilidad de los datos no seguros.
Controlando las fugas
Lugo opina que sería mucho mejor para IBM y compañías similares controlar los medios físicos y la información que contienen, en lugar de intentar prohibir los dispositivos directamente. Recomienda el uso de unidades como los dispositivos Ironkey de Kingston, que combinan protecciones físicas, como cubiertas de metal y revestimientos de epoxi para la placa de circuito del disco, con cifrado controlado por hardware, que hace que los datos digitales sean completamente ilegibles para miradas indiscretas.
Sea cual sea la marca del dispositivo, siempre que se aproveche el cifrado controlado por hardware, se debería evitar casi por completo la pérdida involuntaria de datos. No importa si un empleado extravía un disco con datos confidenciales, porque incluso si alguien lo encontrara y tratara de acceder a esa información, sin el código correcto los datos serían completamente ilegibles.
Kingston también tiene implementadas otras medidas para evitar que se acceda a esos datos, como un número máximo de contraseñas para evitar el pirateo, y las capacidades de borrado remoto, algo que podría evitar contra algunas filtraciones deliberadas de trabajadores descontentos o ex empleados.
al controlar los medios físicos y el punto de contacto con la red interna, una empresa tendría un control mucho mayor sobre los datos que entran y salen.
Protegiendo los endpoints
Sin embargo, los medios físicos en sí son solo una parte de la protección de los datos de una compañía. Algo que varias compañías de valores, como Symantec, MalwareBytes y McAfee, han estado desarrollando en los últimos años, es la protección de los endpoints, que son la interface a través de la cual los sistemas externos pueden enviar y recibir mensajes, permitiendo así la integración de sistemas.
La protección de endpoints es la práctica de asegurar una red en el punto de conexión de un dispositivo. Si bien normalmente eso se produce cuando una nueva computadora portátil o teléfono inteligente están conectados a un sistema, también se puede aplicar a unidades físicas como dispositivos USB. Es algo que Kingston cree que compañías como IBM podrían usar para prevenir parte del robo de datos.
«Endpoint Protection permite que cualquiera que esté involucrado con la ciberseguridad de la compañía, reconozca quién necesita acceso a los puertos USB o a otros datos”, explica Lugo. «Así pueden crear un perfil de usuario, o un grupo de usuarios, para luego permitir solo una unidad USB específica y la reconozca si está siendo usada de una manera inapropiada».
En otras palabras, al controlar los medios físicos y el punto de contacto con la red interna, una empresa tendría un control mucho mayor sobre los datos que entran y salen de sus sistemas protegidos, que prohibiendo el uso de todos los medios físicos, en este caso, USB flash drives.
Regulación General de Protección de Datos
Parte de la nueva legislación de Regulación General de Protección de Datos (GDPR) que se promulgó recientemente, involucra a las compañías que tienen la responsabilidad real de los datos, controlando quién tiene acceso a ellos y cómo se almacenan. Una política de no tener medios físicos hace imposible que IBM sea realmente responsable si alguien burla dichas regulaciones.
Ahora que la GDPR se ha implementado y es totalmente aplicable a cualquier entidad que haga negocios con clientes de la Unión Europea, las empresas deben prestar atención a la forma en que manejan la información digital. La prohibición absoluta de los dispositivos USB podría ofrecer alguna medida de protección contra algunas de las multas más duras y los sistemas de arbitraje vigentes, pero como señala Lugo, no le dan a las compañías el control que necesitan para proteger realmente sus datos y el de sus empleados y usuarios.
Esperanza de un cambio
En cuanto a IBM, Lugo espera que Kingston pueda darle la vuelta a sus recientes cambios de política y ya está en el proceso de tratar de hacerlo. «IBM es una empresa increíble», dijo «algunos de nuestros equipos de ventas están en contacto con ella en este momento, así que ya veremos qué es lo que ocurre».
También es importante aumentar conciencia sobre las alternativas a la prohibición de IBM entre sus empleados. Como señala MalwareBytes, la mejor forma de proteger una red es con una estrategia de combinación que reúna personas, hardware y software, para bloquear de manera integral los datos importantes y las redes en las que está almacenado.
«Las empresas deben asegurarse de tener los procesos internos correctos para enfrentar una infracción, y asegurarse de que el personal reciba capacitación periódica de seguridad; después de todo, sus empleados son su primera línea de defensa, así que hay que equiparlos con el conocimiento para poder detectar un correo electrónico o archivo adjunto poco fiable», nos dijo un portavoz. «Las mejores políticas de seguridad combinan personas, procesos y tecnología; uno no puede ser efectivo sin los otros dos».