Prevención de Riesgos en Seguridad de la Información

Quisiera explicar y trasladar la importancia de la Prevención de Riesgos de Seguridad de la Información, explicando un caso reciente donde un potencial demandante no ha podido demostrar el robo de información en su empresa por un tercero que con ella ha creado una empresa en paralelo.

Imaginemos que usted tiene una pequeña empresa, le ha costado muchos años liderarla y que tenga éxito, ha creado una cartera de clientes fiel que le permiten hacer realidad su sueño. La seguridad de la información, como en muchas empresas, o mejor dicho la prevención de los riesgos que conlleva la falta de seguridad informática, es un concepto que en el orden de prioridad ha quedado probablemente de los últimos.


Ahora entendamos el problema, un ex trabajador ha dejado la empresa y se ha llevado:

1. Ficheros con toda la cartera de clientes.
2. Todos los documentos estratégicos, incluyendo márgenes, ofertas, contratos, renovaciones, etc.

Y con ello ha montado una empresa en paralelo. En ese momento quiere demandarlo pues sabe que accedió de forma ilícita a estos ficheros. Para ello me llama o llama a otro perito y le encarga demostrar que:

1. Tal dia (hace casi seis meses)
2. A tal hora
3. El usuario A.G.H
4. Accedió a lo ficheros X, Y y Z.
5. Los copió y se los llevó.

El perito informático le dice:

1. El servidor donde usted tenía los datos tiene una antigüedad de más de 10 años y no conserva evidencias de acceso de más de 3 meses.
2. Además, al no tener los mecanismos de AUDIT activados no podríamos ver a que accede cada usuario.
3. Además todos los usuarios acceden al servidor con uno genérico que se denomina Administrador y por tanto no se puede relacionar con un usuario especifico.
4. Además no hay copias de seguridad.

Como conclusión es imposible demostrar lo que mi cliente solicita y por tanto imposible hacer la demanda. Sería como si hubieran entrado a un chalet a robar y quisiéramos las imágenes de una cámara que jamás pusimos y ahora nos arrepentimos.

Esta situación, muy común en las pymes, se da porque los empresarios no tienen una cultura de cuidar una de los activos más importantes que disponen “su información”. Es paradójico como cuidaran otros aspectos, como la llave de su despacho, pero no cuidan la seguridad de su información. Hasta es posible que dispongan de una Prevención de Riesgos Laborales, pero no una Prevención de riesgos de Seguridad Informática.

Prevención de riesgos de Seguridad Informática

Básicamente las pymes necesitan un plan de seguridad informática que minimice los riesgos. Igual que tienen un plan de Prevención de Riesgos Laborales, deben concienciarse de hasta qué punto es importante un Plan de Riesgos de la Seguridad de la Información, sin entrar en otros detalles de cumplimiento legal, LOPD, LSSICE, etc que conllevan sanciones y perdida de reputación, etc. Hubiera bastado con haber realizado una consultoría en esta línea que hubiera trabajado ciertos aspectos de su informática, posiblemente basados en los 133 puntos de control de la norma ISO27001.

Luis Vilanova Blanco.

Fuentes: 
Artículo: "Introducción a la Prevención de Riesgos de Seguridad de la Información"  escrito por Luis Vilanova Blanco en http://www.leyesytecnologia.com/, el 22 de Febrero de 2016.
URL: http://www.leyesytecnologia.com/introduccion-a-la-prevencion-de-riesgos-de-seguridad-de-la-informacion/