viernes, 15 de febrero de 2008

Robo de informaciones a Petrobras ¿Cómo podría haberse evitado?

Hola,

Escribí esto hace un buen par de días (el 15 a la mañana) y quizás quede desactualizado cuando se publique en unos quince días, aunque de todas maneras creo que las enseñanzas son importantes.

Un container con, entre otras cosas, informaciones confidenciales a un yacimiento importante de Petrobras en la costa de Santos salió el 18 de Enero de Santos llegó el 30 de Enero a Río de Janeiro. Al abrirlo se detectó la falta de dos notebooks y un par de discos rígidos.

En este momento no se sabe si fue un hurto común (robaron las notebooks porque les parecieron valiosas) o si fue espionaje industrial (sabían lo que robaban dado el valor de las informaciones). Como no se sabe si robaron más cosas (ni la policía ni Petrobrás hicieron declaraciones al respecto) no se sabe aún cual de las dos hipótesis es verdadera.

De acuerdo a algunos el problema fue tercerizar, porque siempre que se terceriza hay un riesgo. Estoy de acuerdo con que tercerizar siempre es un problema, pero la verdad no creo que haya sido el fundamental. Si el motivo fue espionaje industrial y el transporte se realizaba de la misma manera, entonces, hubiese pasado lo mismo. No creo que los espías fuesen patriotas (en caso que fuesen brasileños) y no robaran la información por ser transportada por Petrobras.

¿Cómo se habría podido evitar el problema de acuerdo a mi opinión?

1) Con prevención. Habiendo hecho una auditoría de los sistemas de contra-inteligencia de Halliburton (los datos estaban en poder de Halliburton) creo que Petrobras y cualquier otra compañía tiene la obligación de hacer una auditoría si la empresa que en la que terceriza tiene datos sensibles que son propiedad de la empresa. Obviamente esa auditoría debía estar acompañada después (de ser necesario y en este caso sin duda hubiese sido necesario) de cambios para disminuir los riesgos de robo de datos. Una cosa adicional es que esta auditoría no debiera pedirse a todos los proveedores, sino solo a los que tienen información estratégica para la compañía.

2) Si no se hacía prevención lo ideal sin dudas hubiera sido la transferencia encriptada de la información por una vía electrónica segura. La verdad no entiendo por qué no se hizo eso (con auditoría o sin ella), ya que supongo que Petrobrás y/o Halliburton debieran poseer esa tecnología y además si no la tenían, podría haberla comprado porque aparentemente el valor de la información contenida asciende a varios millones de dólares.

3) Si no tenía esa tecnología Petrobrás podría haber dividido las informaciones en varios discos y/o varias notebooks para que quien robara alguna/s de las mismas no tuviera todo lo que necesitaba. Evidentemente también había que encriptarlos y obviamente debieran haberse enviado por distintos medios seguros.

En definitiva, es usar un poco la cabeza y hay soluciones que son baratas (dividir las informaciones en varios lados para trasladarla y mandarlas por distintos medios no me parece caro).

Ahora, si fue un hurto sin motivo de espionaje industrial, entonces creo que la empresa fue afortunada porque se enteró de una vulnerabilidad casi sin costo. De todas maneras me parece que la primera lección para Petrobrás y para cualquier empresa de gran tamaño es que debe realizar una auditoria de contra-inteligencia. Creo que en los consejos básicos que dimos en el blog podrán servirle a los que no puedan contratar a una empresa específica por su costo.

http://inteligenciacompetitivaenar.blogspot.com/search/label/contra-inteligencia

Un comentario que apareció en Estadao, creo que resume un poco todo:

Como pode???
Qui 14/02/08 21h35 Anônimo
vendo tudo isso imagino como se fosse aquele sujeito que estaciona seu carro numa rua meio suspeita e deixa dentro do porta-luvas os talões de cheques , os cartões de crédito os cartões de saques bancários e um papel escrito as senhas de ascesso , fotografia dos membros da família com nome , endereço , telefone etc...enfim, tudo aquilo que vai contra a mais básica da regras de segurança e privacidade.... que nem o caipira fala: se ocê cochilá com o cachimbo , ele cai.... a não ser que vc. queira que o cachimbo caia de uma maneira ou outra... já estou até vendo a ultima piada nos botecos de Portugal : " Sabe aquela do brasileiro que....
Bueno, eso es todo por hoy.

Espero comentarios, no se olviden que es una de las partes que debemos mejorar del blog.

Los que deseen subscribirse (es gratis) pueden hacerlo poniendo su dirección de email en el cuadradito de la derecha y luego confirmar cliqueando en el link que les llegará.

Saludos,

Lic Adrian Alvarez
Founding Partner
Midas Consulting
+54-11-4775-8983
http://www.midasconsulting.com.ar/

1 comentario:

  1. deben colocar personal de seguridad en serio que sepan lo que hacen como los trabajos sucios

    ResponderEliminar