Cifrado de información

Esta semana a un amigo le han robado el portátil con el que trabaja. En el momento del incidente, estaba trabajando en un proyecto internacional. Afortunadamente, no fue nada violento y no hubo pérdidas más allá del equipo… ¿Seguro? Esto es lo que dice él pero ¿Tenía cifrada la información? La respuesta es NO. Ahora hay varias posibilidades, que haya alguien disfrutando de un portátil, lo formatee y lo use para lo que crea conveniente, otra es que se ponga a revisar qué tipo de información hay y vea diseños, código fuente de aplicaciones de la empresa, esquemas de direccionamiento, planes de negocio, BBDD de clientes, documentos de gestión (lo que sea con lo que trabaje) o bien que simplemente vea cuando navegue que mi amiguete tenía la opción de guardar contraseñas en el navegador, pudiendo acceder a su correo, perfil en diferentes redes sociales, los servicios online… O varias de las opciones a la vez… Vamos, un auténtico desastre. Pero lo curioso, es que él sólo ve la pérdida del equipo (afortunadamente, tenía copia de lo que el considera importante, a saber qué será).

Ya lo dije aquí en su momento, la herramienta para estos menesteres que uso es TrueCrypt, sobretodo a nivel particular, en el plano profesional hay una solución corporativa. Creo que toda empresa que tenga a empleados trabajando fuera de las oficinas (ya sea viajando por necesidades de proyecto, o por estar en cliente), debería tener un procedimiento claro y sencillo de cómo trabajar con volúmenes o discos cifrados. Hay pocas excusas para no hacerlo, los SSOO suelen llevar opciones nativas (Bitlocker, Filevault, LUKS…). En el caso de empresas, que seguramente trabajen con Windows, su solución se puede gestionar a través del directorio activo, con lo que la tarea se simplifica. Está claro que es una capa más a tener en cuenta pero por este tipo de incidentes creo que compensa.

De cuando en cuando sale alguna noticia que un portátil con información sensible se ha “extraviado” y la información queda expuesta o peor, no expuesta pero sí en manos de la competencia. Hasta que no haya un incidente grave seguramente no se tome conciencia de ello (que se lo digan a la NASA) mientras tanto, se seguirá asumiento un riesgo que cada uno tendrá que valorar.

Saludos
Anuncios