Si bien la contratación de proveedores de servicios de almacenamiento de información en la nube representa grandes ventajas, también trae aparejados riesgos maliciosos y no maliciosos.
Kroll, consultora líder a nivel mundial en investigaciones corporativas, mitigación y control de riesgos, asegura que el almacenamiento de información en la nube y los empleados que hacen mal uso de la información privilegiada que poseen, son algunos de los temas que corren mayor riesgo en lo correspondiente a la ciberseguridad durante el 2015.
Lo cierto es que una de las formas más comunes de amenazas a la cadena de suministro de datos al interior de las compañías consiste en que los distintos administradores y empleados individuales de esta información en ocasiones utilizan servicios como Dropbox, iCloud o Skydrive sin siquiera notificarlo a nadie dentro de la organización, lo que significa un riesgo importante cuando se trata de información sensible.
En el caso de Argentina, según la Encuesta Global de Seguridad de Información, el incidente más reportado es la explotación de datos y los delitos en seguridad de la información los cuales generaron principalmente pérdidas financieras y robo de propiedad intelectual liviana (información referida a procesos y conocimiento institucional).
“Todos parecen estar subiendo a la nube ya que los réditos económicos son innegables” – explica Martín Elizalde, Senior Consultant de Kroll – “Pero transferir el control de la información propia o de un cliente a un tercero, proveedor de servicios en la nube, es un proceso en donde quien transfiere es responsable, aun sin poder combatir las amenazas que eventualmente aparezcan”. El experto indica que para los miembros del Directorio la información subida a la nube se puede traducir en acciones personales en su contra.
En distintas investigaciones llevadas a cabo por Kroll para diversas empresas nacionales e internacionales, se ha descubierto que hay cada vez más presencia de infiltrados en las compañías que manejan información sensible y privilegiada. Sin embargo, la definición de infiltrado ha evolucionado con los años, ya que anteriormente se pensaba que era un empleado, pero actualmente se ha descubierto que incluso socios de negocio y asociados que proveen de servicios a las compañías han resultado ser infiltrados.
Hay también casos de empleados temporales, contratistas, vendedores e incluso todo un ecosistema de organizaciones que colectivamente se perfilan como infiltrados. Algunos lo hacen por la ganancia de dinero que representa la venta de información, por agenda política, “hacktivistas” o alguien que trabaja de la mano con cibercriminales.
Según la última Encuesta Global de Seguridad de la Información, el número de incidentes de seguridad informados ascendió a 42,8 millones en 2014 con un aumento del 28% respecto de 2013. The Hill, el icónico website favorito de Frank Underwood, aseguró que en 2013 hackers robaron la identificación de 40 millones de tarjetas de crédito.
El año pasado, un percance de este tipo afectó a 76 millones de datos relacionados con el JP Morgan y el incidente pasó dos meses sin ser descubierto. Tim Ryan, experto de Kroll en la materia, describió recientemente como algunos hackers se habían robado información personal de 50.000 conductores de Uber.
Sin embargo los riesgos que representa el almacenamiento en la nube también pueden ser no maliciosos. “Hay riesgos que no son intencionales pero que sin embargo pueden provocar grandes dolores de cabeza a las empresas, como por ejemplo desastres naturales tales como inundaciones, errores humanos donde se acredita la falta de intencionalidad o negligencia, fallas tecnológicas, falta de conocimiento del personal para manejar una tecnología innovadora y la siempre presente posibilidad de un corte de energía”, describe Elizalde.
Los dos tipos de amenazas tienen algo en común, implican una falla en la seguridad de la data que compromete muchas veces no solo datos de la compañía sino también de la privacidad de quien trabaja en ella. No solo las fotos subidas de tono causan malestar, también la publicidad no autorizada de las cuentas bancarias, estados financieros o legajos médicos. Comprender la naturaleza de las amenazas, lleva a negociar un mejor contrato con el proveedor de servicios en la nube, que plasme las buenas prácticas en esta materia tan sensible.
“El origen de la responsabilidad, y de los dolores de cabeza para los miembros del Directorio, es el contrato de provisión de servicios en la nube. Hay que negociarlo y hay que auditar su ejecución continuamente: solo así se pueden prevenir los males reseñados, o al menos, controlar los daños”, concluye Matías Nahón, Managing Director de Kroll Argentina.