viernes, 30 de noviembre de 2007

Contra-Inteligencia en Brasil

En la Revista Amanhã del mes de Octubre salió un artículo acerca de cómo las empresas brasileñas evitan que le roben datos e informaciones estratégicas. Una encuesta que hizo la revista en su site al día que escribí el artículo tenía 67 respuestas y el 81% de los que respondieron habían tenido problemas de espionaje, aunque hay que reconocer que es más lógico que responda quien se vió afectado que quien no.

Dos aspectos salientes y con los cuales ya saben que concuerdo es que las empresas no previenen, sino que actúan cuando ven los primeros síntomas o algunas ni siquiera eso. El otro aspecto es que se debe encontrar un equilibrio entre la paranoia y el no prestarle atención al asunto, ya que ninguno de los extremos es bueno.

Concuerdo con el consultor Brasiliano, uno de los expertos citados, en que el 85% de las informaciones se transfiere sin siquiera darse cuenta, ya que el que intenta sacar informaciones lo hace a través de técnicas de elicitación (indução en portugués) en conversaciones “teóricamente” casuales. Si tomo la encuesta de la revista me dá solamente 31%, pero creo que no es real porque ese 31% representa únicamente los casos donde se dieron cuenta a posteriori, mientras que el 85% sería lo real, lo que la empresa se dio cuenta y lo que no.

También concuerdo con Brasiliano en que lo más fácil de implementar son los sistemas seguridad electrónica tipo firewalls, claves, etc y lo más difícil es cambiar el comportamiento. Paradójicamente la existencia de sistemas electrónicos hace que las personas se relajen y sean más proclives a pasar estas informaciones sin querer.

Estoy de acuerdo con lo que dice el artículo con respecto a que no hay manera de tener una empresa 100% blindada, porque hay mil maneras de penetrarla a través de ingeniería social o técnicas de elicitación, pero que hay maneras de disminuir ese riesgo. Entre las cosas recomendadas por los expertos brasileños tenemos:

1) Hacer un chequeo previo de antecedentes de quién trabaja para la empresa. Si bien no lo especifica, creo que se refiere a los puestos más o menos estratégicos. A mi entender esto se debe hacer siempre con los puestos estratégicos, aunque también creo que en la mayoría de los casos no se dan malas referencias y menos en los casos de empleados infieles, porque, como en el mismo artículo se reconoce, a las empresas no les gusta admitir sus fallas de seguridad. Además nadie quiere dejar la posibilidad que le hagan un juicio por calumnias e injurias. No hay que olvidarse que los empleados infieles son la peor clase de empleados.

2) Investigar a los funcionarios de la empresa a través de detectives y hasta infiltrar a algún informante en la empresa o investigar la vida privada de los gerentes y directores. Aparentemente estos expertos brasileños no leyeron nada del caso Hewlett Packard porque sino no propondrían algo que seguramente le costará el puesto al CEO de la empresa. Obviamente no estoy de acuerdo con esto y no lo recomiendo para nada.

3) En ADP, una empresa que realiza algunos trabajos de recursos humanos, me parecieron que tenían uno de los enfoques más acertados, ya que querían que sus empleados se convirtiesen en firewalls humanos e invertían en capacitación y concientización. Tengo que decir, sin embargo, que algunas cosas que hacían me parecieron medio paranoicas (como por ejemplo pasar faxes únicamente una vez que se ha establecido comunicación con la persona a la que va dirigido, ya que con ese mismo nivel de paranoia, quizás la línea de un lado o el otro pueda estar intervenida)

4) En Koury Lopes Abogados tienen un acceso restringido a documentos de acuerdo al nivel de confidencialidad de la información y a la necesidad de acceder de la persona que además registraba qué documentos eran consultados por quien. Este sistema está bien para la gente de bajo nivel, pero no protege a los de alto nivel (que seguramente tienen acceso a todo tipo de informaciones) y que muchas veces son los más proclives a dar informaciones estratégicas. A mi modesto entender, con las personas de alto nivel lo único que uno puede hacer es concientización, concientización y más concientización y delimitar las informaciones que no se pueden dar de ninguna manera.

5) GM tiene distintos niveles de secreto a medida que avanza un proyecto, al principio todo es altamente secreto y una vez que el producto entra en producción el tema se vuelve menos critico, ya que en esa etapa el número de profesionales que trabajan en el proyecto es demasiado grande, dado que hay proveedores, etc. Este enfoque es razonable, ya que seguramente una vez que el auto está en la calle los competidores podrán hacer ingeniería inversa, hablarán con proveedores comunes, etc. De hecho, es una de las cosas fundamentales en contra-inteligencia, por cuánto tiempo debemos proteger la información.


Haciendo un mini-resumen de las prácticas que me parecen más importantes para la contra-inteligencia tenemos:


Controlar si lo que nos contaron en el CV coincide con la realidad. De hecho, en la Argentina al menos es común que le pregunten a los vecinos y una consultora visite al candidato en su casa. Si bien tengo que decir que soy muy escéptico por la manera en la que en Argentina se realiza ese trabajo.

Invertir en capacitación constante en contra-inteligencia e inteligencia

Limitar el acceso a los documentos sensitivos. En algunas compañías se revisan los mails y toda la información de las computadoras, así como grabaciones de las conversaciones telefónicas, aunque para eso muchas veces se necesita que el empleado firme un consentimiento, porque dependiendo de la legislación se puede considerarse invasión de la privacidad.

Cambiar los niveles de seguridad a medida que avanza un proyecto. Aunque justo antes del lanzamiento debe alcanzar su máxima seguridad.


Yo agregaría dos prácticas más:

1) Determinar qué información es realmente estratégica y mostrarle a las personas que tienen acceso a esa información los daños que podrían causarle a la compañía si es que esa información pasa a manos de la competencia.

2) Algunas compañías también contratan consultoras y hackers en el caso de amenazas electrónicas para tratar de penetrar sus defensas y detectar sus vulnerabilidades.

Bueno, eso es todo por hoy. Espero que les haya resultado interesante saber qué hacen algunas empresas brasileñas en materia de protección y les recomiendo que lean el artículo completo.

Alguien nos puede comentar qué opina de estas medidas y qué medidas toman en su empresa (no es necesario que mencionen la misma), sino las experiencias.

Si leiste hasta acá y no eres subscriptor, me parece que sería una buena idea que te subscribieses. Es gratis y sencillo, sólo tienes que ingresar tu mail en la cajita que está a la derecha en tu pantalla. Luego te llegará un mail para que confirmes que realmente te quieres susbcribir (no queremos mandar informaciones que no sean pedidas por los destinatarios) y listo. Ya estarás subscripto.

Saludos,

Adrian

No hay comentarios:

Publicar un comentario