Todos los secretos empresariales tienen un precio. Y ya lo sabe Coca-cola, que ha tenido que proteger por 123 años la composición de su "fórmula", el secreto más caro y más deseado del mundo, base de su famosa bebida.

Pero, a pesar de la importancia que tiene proteger este tipo de información, un estudio de Mattica, primer laboratorio de cómputo forense de Latinoamérica, indicó que el 98% de las empresas exponen sus datos confidenciales sin saberlo. Esto quiere decir que de 670 mil empresas formales que existen en DF (cifras de SIEM a octubre de 2009), 656 mil están en peligro.

Por ejemplo, muchos directores piensan que al formatear un equipo, esos datos en archivos y carpetas ya desaparecieron y por tanto ningún tercero tendrá acceso a esa documentación. Lo que es incorrecto.

"Es común reformatear un equipo para luego venderlo o regalarlo", cuenta Andrés Velázquez, director de investigaciones digitales de Mattica. "Esto permite que alguien con conocimientos de sistemas pueda recuperar la información contenida en el disco duro. Desde sus contraseñas, datos personales e incluso fotografías".

Misma opinión tiene George Tillman, ex CIO de Booz Allen Hamilton, quien a través de un artículo publicado en la revista Strategy+business señala que la mayor parte de las corporaciones siguen fuertemente desprotegidas.

Antonio Ramírez, responsable de soluciones documentales de Konica Minolta, piensa que la conciencia existe y el hecho de conocer medidas de prevención está en aumento. "Sin embargo, esta conciencia se enfoca principalmente a los documentos electrónicos. Cuando hablamos de documentos físicos dicha conciencia es inferior, ya que en nuestros estudios de consultoría es habitual encontrar archivadores sin seguridad alguna, o copiadoras e impresoras escondidas en pasillos o cuartos donde acceder a la información impresa es extremadamente fácil".

Las compañías acostumbran además a trasladar sus computadoras, venderlas o donarlas sin estar enterados del curso que puede tomar la información "borrada" dentro de ellas y los perjuicios de estas acciones.

Pérdidas millonarias
Según una investigación realizada por la Oficina Federal de Investigaciones (FBI) a 2,066 empresas en 2005, el espionaje industrial ocasiona pérdidas cercanas a US$30 mil millones sólo en Estados Unidos (EU).

En mayo de 2006, por ejemplo, el ejército norteamericano perdió 26,5 millones de registros militares almacenados en una laptop que fue robada.

Y hasta las empresas más seguras están expuestas a este tipo de delitos. En 2000, Microsoft sufrió el ataque de troyanos a sus servidores, los que pudieron obtener claves de acceso a la información relevante del sistema operativo Windows. Esto fue enviado a diversas cuentas de correo electrónico en San Petersburgo, Rusia.

Otra empresa extranjera, Petrobras, denunció a comienzos del año pasado el robo de equipos con información secreta de la compañía. Dichos discos almacenaban estudios sobre las reservas de petróleo y gas natural del yacimiento de Tupí, descubierto en noviembre de 2008 en aguas profundas de la cuenca de Santos.

México no es la excepción. Los casos de espionaje, robo de información e infiltración de sistemas administrativos son bastante comunes, incluso en las empresas más grandes.

Un ejemplo muy bullado en la prensa mexicana fue un caso ocurrido a mediados de 2003, cuando un empleado de la empresa 'Vanguardia en Informática' robó datos de 58 millones de mexicanos que se encontraban en el Instituto Federal Electoral, y luego los vendió a la estadounidense Choice Point por US$250 mil.

Actualmente, el Código Penal Federal, en sus artículos 210 y 211 bis, sanciona la divulgación ilícita de los secretos industriales, al igual que la ley de Instituciones de Crédito (artículo 112 bis) donde los malechores se exponen a un máximo de nueve años de presidio.

Recursos para proteger su empresa
Desde la aparición de los primeros robos de información y más tarde la irrupción de Internet, los departamentos de seguridad de cada empresa han intentado establecer los más eficaces mecanismos de protección contra estos ataques. Así, han surgido poderosos mecanismos de seguridad:

1. Antes de implantar cualquier tipo de sistema de protección, expertos estiman que los altos ejecutivos de una empresa entiendan el impacto negativo que pude tener que personal no autorizado legue a tener acceso a su información privilegiada.

2. Considerar la seguridad informática como prioridad y no ponerla en la lista de "tareas pendientes".

3. La implementación de políticas y procesos para el almacenamiento de datos. Las reglas deben establecer qué información puede guardarse, a dónde puede guardarse (PCs, laptops, etc) y cómo debería guardarse (encriptada o no).

4. Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizadas para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves y tarjetas. Las cerraduras y las alarmas son una verdadera manera de disuadir a los ladrones.

5. Que los empleados firmen cláusulas de confidencialidad en sus contratos de trabajo para que no divulguen información estratégica a la que tienen acceso, lo que se aplica a un cierto periodo aún si dejan de pertenecer a la compañía

6. Establecer una limpieza de oficinas de los principales ejecutivos y tecnificarla para tomar medidas preventivas

7. No dejar documentos importantes sobre los escritorios ni en las pantallas de las computadoras, y borrar siempre los pizarrones de las salas de juntas.

8. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel.

Herramientas informáticas de seguridad
1. La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere controles de acceso, autenticación, encriptación y detección de intrusos.

2. El correcto uso de controles de acceso, como claves en PCs y redes, firewalls y aplicaciones de control,  previenen el acceso no autorizado a la información.

3. Entre tantos firewalls, muchos han pasado por alto la valiosísima información que las empresas almacenan en discos rígidos, CDs, DVDs, pendrives, laptops, PDAs y BlackBerrys. El abaratamiento de los costos hace que las compañías olviden los antiguos formatos.

4. No proporcione información de sus clientes o empleados, si no confirma la identidad de la persona que la solicita.

5. No utilice número de cuentas bancarias, ni tarjetas de crédito, ni cajeros automáticos como número de cuenta. Aunque no es muy común, esta práctica resulta peligrosa, tanto para usted como para sus clientes.

6. Enseñe a aquellos empleados que necesitan recabar información de sus clientes, para que lo hagan en voz baja y donde otros no puedan escucharla.

7. Cambie sus computadoras de manera tal que las pantallas solo puedan ser vistas por quien las opera. Instruya.

www.altonivel.com.mx