La ciberseguridad fue un tema recurrente durante el pasado 2018. Mucho se discutió acerca de cómo enfrentar los hackeos a distintas bases de datos, que incluyeron la publicación de información de tarjetas de crédito y de sus titulares[1], de listas de empleados de distintos bancos[2], y en general la infiltración de los sistemas informáticos de compañías con el fin de acceder, utilizar fraudulentamente o bien simplemente hacer públicos determinados datos. Las autoridades han reconocido que la amenaza de los hackers es real y seria. Sin embargo, poco se ha dicho respecto de otro riesgo, relacionado con el anterior: la posibilidad de que las filtraciones de datos no ocurran por la acción de atacantes externos, sino que se originen al interior de las mismas compañías a partir de las conductas de algún ejecutivo, empleado o contratista.
De acuerdo con una nota publicada en abril de 2018 por The Register, medio digital inglés reconocido por sus publicaciones en materia de tecnología, uno de cuatro data breaches (es decir, fugas, vulneraciones, sustracciones u otros accesos indebidos a información sensible) se origina al interior de la compañía afectada[3]-[4]. Ello evidencia la necesidad de que las compañías cuenten con medidas de seguridad para hacer frente no sólo a ataques externos, sino que también a riesgos internos.
Si bien las medidas que en concreto se apliquen en cada caso deben ser resultado de un análisis particular sobre la infraestructura, sistemas, procedimientos y potenciales vulnerabilidades en una compañía, propios de los sistemas de auditoría y gestión de seguridad informática y de los incipientes pero cada vez más extendidos programas de cumplimiento y gobernanza en materia de datos personales, a continuación exponemos algunas sugerencias generales para enfrentar estos riesgos.
En primer término, es importante tener presente que el riesgo de que información sensible se filtre fuera de la organización ya sea a través de actos maliciosos o errores o incidentes no intencionales, no es solo un problema del área TI (que tradicionalmente se considera como el principal, y muchas veces único, ente encargado del manejo y seguridad de las bases de datos y otros activos de información), sino que de toda la organización. Debe recordarse que prácticamente todos los trabajadores tratan con información sensible, ya sean datos personales de clientes o de otros trabajadores, o información comercial, por lo que todos ellos deben ser considerados a la hora de proteger esta información.
En segundo lugar, debieran revisarse periódicamente las prácticas existentes en materia de tratamiento de datos y de seguridad de la información, para determinar dónde podrían presentarse brechas. Así, se sugiere poner particular atención a problemas frecuentes en muchas compañías, tales como (i) el acceso indiscriminado, o sin perfiles segmentados, para todos los empleados a las bases de datos corporativas, (ii) la posibilidad de que empleados saquen de la compañía y su perímetro físico dispositivos que contienen información sensible, (iii) las políticas de flexibilización de uso de dispositivos móviles o portátiles conocida como “bring your own device”, y (iv) el fácil acceso o manipulación de los servidores internos de la compañía.
En tercer lugar, pueden incorporarse mecanismos de regulación interna para resguardar de mejor manera la información, tales como (i) incorporar, en los contratos de trabajo, cláusulas relativas al uso de equipamiento TI y a las obligaciones del trabajador respecto de la seguridad de la información, de acuerdo con su cargo y las funciones que desempeña; (ii) establecer, en el reglamento interno de higiene, orden y seguridad, reglas claras en relación con la normativa (tanto general como interna de la empresa) en materia de protección de información sensible, las medidas de seguridad implementadas al respecto, las responsabilidades que los trabajadores tienen en la materia, y las consecuencias y eventuales sanciones ante incumplimientos; (iii) hacer capacitaciones especializadas a los trabajadores, con el fin de lograr que éstos entiendan la importancia proteger la información sensible, y sepan cómo poner en práctica las conductas y medidas de seguridad requeridas; e (iv) incorporar un non disclosure agreements (NDA) en los finiquitos y otros documentos de término de relación contractual, con el fin de desincentivar la divulgación de información sensible de la que obtuvieron conocimiento durante su permanencia la empresa, por parte de quienes la dejan.
En cuarto lugar, pueden incorporarse diversas medidas técnicas, sobre la base de decisiones estratégicas en materia de gobernanza de la información corporativa. A continuación, mencionamos algunas medidas de seguridad que han sido sugeridas en publicaciones especializadas en la materia: (i) restricciones en base al principio need to know: acceso a información sensible sólo para quienes necesitan determinada información para su trabajo[5]; (ii) acceso 1-1 o “uno a uno”: acceso o consulta únicamente a los datos que se necesitan para determinada tarea, no a la base completa[6]; (iii) limitaciones de hardware: imposibilitar el uso de pendrives u otros dispositivos de almacenamiento para evitar que alguien extraiga inapropiadamente información[7]; y (iv) limitaciones de software: imposibilitar el envío de grandes cantidades de información vía correo electrónico[8].
En quinto lugar, para fortalecer la seguridad de sus bases de datos, es importante que las compañías identifiquen los tipos de información de carácter sensible que manejan y su criticidad, y clasifiquen la magnitud e impacto de situaciones de acceso indebido o pérdida de los distintos tipos de datos. En virtud del análisis anterior, una compañía puede elaborar e implementar políticas y procedimientos para gestionar la reproducción, distribución y almacenamiento de archivos que contienen datos sensibles en los distintos medios que emplea la compañía, con el fin de procurar protegerlos de la mejor manera posible. Junto con estos procesos, es importante también que se analicen los incidentes pasados donde se vio afectada información sensible de la compañía, para determinar dónde se originó el problema, cómo repararlo, y qué medidas tomar para que no vuelva a ocurrir.
Se tramita actualmente en el Congreso el proyecto de ley Boletín Nº11.144-07 que busca modificar la Ley Nº19.628, sobre protección de la vida privada (“Proyecto de Ley de Datos”), establece como una obligación de todas las empresas que traten datos personales, la implementación de “modelos de prevención de infracciones”. La estructura propuesta en el Proyecto de Ley de Datos considera algunas de las medidas indicadas, por lo que en un futuro cercano, será normal que las empresas cuenten con sistemas de cumplimiento que recojan y den una unidad de sentido a las diferentes actividades de prevención. Todo parece indicar que el Proyecto verá la luz pronto, sin que la fecha la regulación de los modelos de prevención de infracciones haya sufrido cambios, lo que permite pronosticar un arribo de los sistemas y programas de compliance de datos en el futuro cercano.
En paralelo a este proyecto, se tramita en el Congreso Nacional el proyecto de ley Boletín Nº 12.192-25 que busca reformar la Ley Nº19.223, sobre delitos informáticos (“Proyecto de Delitos Informáticos”). Por medio de este proyecto se actualiza la normativa sobre delitos informáticos, creando varias figuras nuevas que buscan sancionar penalmente algunas conductas de hackeos y otras conductas afines, pero realizadas al interior de la empresa. El Proyecto de Delitos Informáticos establece que las nuevas figuras serán incorporadas a la Ley 20.393, y por tanto las empresas responderán penalmente en caso que alguno de estos delitos sea cometido en su beneficio y estas no cuenten con sistemas de prevención del hackeo. La aprobación de esta normativa supondrá la necesaria actualización de los modelos de prevención del delito, para que recojan las medidas preventivas de la delincuencia informática.
Estos dos proyectos muestran con claridad el énfasis que el legislador pretende dar al compliance en materia de protección de la información digital.
En suma, cualquier compañía o institución podría verse enfrentada al riesgo de ser víctima de un incidente de seguridad que comprometa su información sensible o la de sus usuarios o clientes. Por lo mismo, parece importante que se tomen las medidas de protección adecuadas para enfrentar el riesgo, no sólo centrándose en el origen externo a la compañía, sino considerando también riesgos originados adentro de la organización misma. Un buen programa de compliance tecnológico puede hacerse cargo de los temas expuestos y de muchos otros. Partir desde ahora con las medidas pareciera ser lo más sensato, para no tener que actuar bajo premura y de forma esencialmente reactiva, como ha ocurrido con cambios legislativos similares, que han incorporado obligaciones de compliance a las que las organizaciones deben adaptarse.
Referencias
[1] BioBíoChile, “Nueva filtración de datos de tarjetas de crédito afecta a 13 bancos nacionales”, de 6 de septiembre de 2018. https://www.biobiochile.cl/noticias/economia/tu-bolsillo/2018/08/27/nueva-filtracion-de-datos-de-tarjetas-de-credito-afecta-a-clientes-chilenos.shtml
[2] BioBíoChile, “Filtran presunto listado de trabajadores de Santander: incluye casi 13 mil nombres y correos”, de 28 de agosto de 2018. https://www.biobiochile.cl/noticias/nacional/chile/2018/08/28/filtran-presunto-listado-de-trabajadores-de-banco-santander-incluye-nombres-y-correos.shtml
[3] The Register, “Security - Insider threat. Company insiders behind 1 in 4 data breaches – study”, de 10 de abril de 2018. https://www.theregister.co.uk/2018/04/10/verizon_dbir/
[4] Verizon, “Verizon 2018 Data Breach Investigations Report. Tales of dirty deeds and unscrupulous activities”, de abril de 2018. https://enterprise.verizon.com/resources/reports/dbir/
[5] UC Berkeley, “Information Security and Policy. Need to Know Accesso Control Guideline”. https://security.berkeley.edu/need-know-access-control-guideline
[6] Este método también ha sido denominado Role-Based Access Control, pues consiste en la identificación de roles en el sistema. Un rol puede ser definido en función de las tareas y responsabilidades que se tienen en relación con una determinada actividad laboral. Esto puede ser de manera más bien general, en base al cargo de la persona, o de manera más específica considerando las tareas específicas que la persona ha de llevar a cabo. Luego, se da acceso a aquellas partes del sistema autorizadas para el rol de la persona en cuestión. Véase P. Samarati y S. de Capitani, “Access Control: Policies, Models, and Mechanisms”, p. 181. https://link.springer.com/content/pdf/10.1007%2F3-540-45608-2_3.pdf
[7] Oracle, “Administración de Oracle Solaris: servicios de seguridad. Control de acceso a dispositivos”. https://docs.oracle.com/cd/E26921_01/html/E25886/concept-42.html#devmgt-6
[8] Vaultize, “Email & Attachment Security”. www.vaultize.com/outlook-plugin-email-attachment-security-tracking