Espionaje Informático

La reciente información que entregara la prensa del espionaje informático del que habría sido víctima una organización gremial de nuestro país revive una constante de la que no siempre se tiene registro en el recuerdo inmediato.

Al “googlear” la frase espionaje informático chile, se presentan de inmediato casos además del ya citado, como los siguientes:

• En 2011, y aprovechándose que trabajaba como operador de sistemas, —- accedió a una base datos que contenía los sueldos y funciones de los trabajadores.
• Fiscalía resolvió formalizar por estafa y sabotaje informático a sujeto que jugó Kino falso de 1000 millones por internet.
• Formalizarán a policía por obstruir investigación de espionaje informático y tortura contra estudiante.
• CDE se querella por espionaje informático tras filtración de adopciones desde servidor del Sename.
• Sobreseen investigación por presunto espionaje informático en intendencia de La Araucanía.

De los seis casos se puede identificar claramente un esquema predominante en la extracción de información: en 5 casos fue realizada por personas con acceso a los sistemas en que ésta reside.

Para contextualizar, Wikipedia nos ayuda con la siguiente definición: se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial.

¿Es posible prevenir, controlar o impedir este tipo de actos?

Ciertamente que es posible hacer muy difícil la tarea a quienes desean ejecutar alguna de estas acciones.

Primero podemos citar algunas acciones de orden institucional que siempre se deberían practicar: disponer de códigos de conducta y políticas en seguridad de la información, las que deben ser conocidas y aceptadas por los trabajadores – internos y externos – de la empresa; disponer de normas y reglas claras de la administración de los recursos informáticos, que siempre privilegien en control y la diligencia debida. Los activos que se almacenan en las bases de datos estar siempre bajo resguardo y de acceso controlado, tanto en sus versiones actuales como anteriores. Es el caso de la información contable y financiera, de recursos humanos, de clientes y los productos, valores y condiciones de venta, de proveedores y los materiales y las condiciones de compra, las recetas de producción de productos en proceso y terminados, y así muchos otros.

En el contexto técnico, estando bien definidas las anteriores, desarrollar las normas técnicas alineadas con éstas y aplicando las buenas prácticas, permitirá mantener a los usuarios con el mínimo privilegio actualizado.
La fuga de información se puede presentar en distintos componentes de la plataforma tecnológica de una empresa: sistemas de correos, sistemas de almacenamiento centralizado de documentos y los sistemas computacionales como el caso de SAP.

Un check list básico que nos ayudará dimensionar el nivel de exposición a fuga de información en el landscape de SAP:

• ¿El sistema SAP QAS que se actualizada periódicamente con SAP PRD deja los datos sensibles (nuestros activos) disponibles?
• ¿Al sistema SAP QAS los usuarios – funcionales y técnicos – tienen restricción en los accesos?
• ¿Cuantos usuarios tienen acceso al maestro de proveedores y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de clientes y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de materiales – materias primas, insumos, semi elaborados y terminados –  y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de recursos humanos y a la información de sueldos?
• ¿Cuantos usuarios tienen acceso a la información de contable y financiera?

Nota: el concepto acceso está referido a su nivel más básico: consulta de la información.

Cualquiera de estos puntos son de la mayor criticidad a resolver y, a la pregunta del paso siguiente, pueden buscar en anteriores blogs o simplemente nos pueden contactar.