¿Cómo controlar la información empresarial?

El director de Consultores en IT y especialista en control de información y operaciones de infraestructura, Horacio Biscoglio, advierte en este artículo sobre los riesgos que implica la ausencia de controles.

Horacio Biscoglio, Director de Consultores en IT

- ¿En qué debería pensar una empresa cuando se habla de controlar información?

- Yo diría que en la gestión de su capital más valioso. La información comercial, técnica o administrativa es resultado de toda la historia corporativa e incluye, por ejemplo, los presupuestos de venta, la gestión de cobranzas, la situación de la empresa ante entes recaudadores y, lo que es peor, el know how, el modo de producir, es decir, lo que hace que esa empresa se diferencie de las demás y haya llegado hasta su situación actual.

- ¿Los ataques suelen ser externos o internos?

- Sobre todo internos y ocurren en forma diversa. Por ejemplo, al enviar información por internet o a través de correos electrónicos, se pueden estar compartiendo datos confidenciales. Esto es fácilmente controlable y, de hecho, creo que la mayoría de las acciones dolosas no se realizan por estos medios, sino de forma más tradicional, por ejemplo, copiando información en un USB. Esto ocurre porque ya estamos alertados de que existe seguridad sobre la información que enviamos, pero es menos probable que se controle los dispositivos anexos a nuestros equipos.

- ¿Entonces propone controlar dispositivos?

- Mi sugerencia es que se gestione la infraestructura completa, porque a nivel de software, precio y esfuerzo no hay mucha diferencia. Sin embargo, como normalmente se habla únicamente del control de envío de información, me gusta hacer hincapié en esta segunda modalidad. Hoy en día, en forma muy simple, podemos establecer un control centralizado para monitorear o bloquear el uso que se hace de cada dispositivo removible que tiene la organización. Esto permite controlar con exactitud el flujo de información. Quién, qué, cómo y cuándo pretende extraer datos.

- ¿Cómo se procede cuando se detecta una fuga o robo de información?

- Existen tantas posibilidades como situaciones. Hay que ser muy flexible en eso. Por ejemplo, en una muy importante compañía local, notaron que cada vez que concebían un producto, la competencia lanzaba al mercado productos muy similares y al mismo tiempo. Era obvio que existía una fuga crítica de información, pero se preguntaban, ¿cómo detectar al responsable, entre miles de empleados? Lo que hicimos en este caso fue establecer controles generales y dejar una única posibilidad de salida de información a la que monitoreamos en forma silenciosa y sin dar aviso al personal interno. Para el usuario final nada había cambiado, porque podía seguir haciendo lo mismo que antes. Fue así que al poco tiempo pudimos individualizar al responsable y la empresa jamás volvió a tener este problema.

- ¿Y si la información saliera a través de una impresora, es decir, sin copiarla a un dispositivo extraíble?

- Se controla en forma idéntica. El monitoreo afecta tanto a una impresora como a DVDs, disketes (dónde todavía existen), rígidos externos, memorias flash, USBs, móviles. En todos los casos uno puede dejar abierta estas puertas y monitorearlas o cerrarlas e impedir que, por ejemplo, se instalen programas o se baje información. Así también aparecen usos adicionales que afectan a la rentabilidad. Referido a tu pregunta, al controlar las impresoras, se corta con las impresiones innecesarias y, en muchos casos, con fines particulares que, además de afectar al medio ambiente, consumen recursos de la organización con fines inapropiados.