La amenaza del "pirateo visual" en aviones, trenes y otros medios de transporte público es algo sobre lo que no leemos demasiado cuando se trata de la seguridad de los datos. Pero puede resultar un verdadero problema, sobre todo si el contenido de tu pantalla revela datos empresariales muy confidenciales que podrían comprometerte con un cliente o competidor.
Al fin y al cabo, todos hemos estado sentados en un tren junto a alguien que tecleaba furiosamente, sin saber que en realidad estábamos haciendo "shoulder-surfing" y accediendo potencialmente a todo tipo de propiedad intelectual que, en las manos equivocadas, podría acabar metiendo a esa persona en un buen lío.
Puede que a algunos les parezca descabellado, pero piénselo dos veces la próxima vez que vaya de camino a una importante reunión de ventas o de vuelta a casa después de que una reunión haya ido mal. Las conversaciones escuchadas y las miradas de desconocidos sentados a tu lado al contenido de tus pantallas podrían ser enormemente reveladoras y embarazosas. Sobre todo si otros pasajeros trabajan en tu sector y se dan cuenta.
No revele secretos comerciales a sus competidores
¿El negocio no va muy bien? ¿Han bajado las ventas? ¿Márgenes estrechos? Está claro que no quiere que sus competidores o el público en general conozcan esta información sobre su marca, así que ¿por qué hablar de ello o escribir correos electrónicos confidenciales en público?
El hecho es que el "shoulder-surfing" o "hacking visual" es una amenaza para los datos de las organizaciones tan grave como cualquier otra, y no hay que ignorarla.
Además, la privacidad visual también es realmente importante para la satisfacción de los empleados, que ven reducida su productividad en un 50% si sienten que su privacidad visual está en peligro.
Abordar esta cuestión debería formar parte de un debate más amplio sobre cómo defender a las empresas de ciberataques sofisticados. En julio de 2017 se anunció que se invertirán hasta 14,5 millones de libras en un nuevo centro de innovación en ciberseguridad en Londres. Sin embargo, quizá no hayamos reflexionado lo suficiente sobre el papel de la seguridad de los dispositivos físicos a la hora de prevenir las filtraciones de datos.
Consejos prácticos para la seguridad de los datos en los desplazamientos
Los viajeros que responden a correos electrónicos y acceden a documentos mientras se desplazan son un buen ejemplo de la rapidez con que la información sensible y valiosa puede caer en las manos equivocadas.
Hay varias formas de abordar este problema que los empleados y los responsables de TI deben conocer. La más obvia es no hacerlo.
Sin embargo, no es razonable ni sensato impedir que la gente trabaje sobre la marcha. Si realmente tiene que tratar con información confidencial en un tren de cercanías abarrotado o en un vuelo de negocios de larga distancia, también puede utilizar una pantalla de privacidad, que actúa como un filtro bastante sólido para los ojos no deseados. Una encuesta reciente de IDC puso de relieve que la razón más popular por la que las empresas británicas compran pantallas de privacidad es para proteger la imagen de su empresa, una prioridad mayor incluso que la pérdida de datos o los problemas de privacidad.
Aunque las pantallas de privacidad no incorporan funciones avanzadas de cifrado, sí restringen la visión de los curiosos, lo que significa que sólo la persona que está delante de la pantalla puede ver lo que aparece en ella.
Puede que algunos se burlen del uso de este tipo de pantallas, pero es mucho mejor que entregar propiedad intelectual confidencial a la competencia. Además, ahora que nos enfrentamos a uno de los cambios más importantes en la normativa sobre privacidad de datos en una generación -el Reglamento General de Protección de Datos (RGPD) de la UE-, las empresas corren el riesgo de perder mucho más que propiedad intelectual si no protegen la información de sus clientes.
A partir de mayo de 2018, las organizaciones que se enfrenten a una violación de datos en virtud del RGPD pueden ser multadas con hasta el cuatro por ciento de su facturación global anual, o 20 millones de euros, lo que sea mayor.
Prevención en lugar de reacción exagerada
Las organizaciones de todo el país están muy ocupadas centrándose en los últimos productos y servicios tecnológicos que les ayuden a prevenir la ciberdelincuencia. Mientras tanto, la disuasión física sigue ocupando un lugar secundario en la agenda, a pesar de que sigue teniendo la capacidad de provocar filtraciones de datos a gran escala y de gran impacto.
Nationwide Building Society ha sido multada con 980.000 libras por el organismo de control de la City tras el robo de un ordenador portátil en casa de un empleado** [véase la nota más abajo]. En un principio, esto parece bastante extremo, pero no lo es si se tiene en cuenta que el portátil en cuestión contenía datos confidenciales de clientes, lo que ponía en peligro los datos de casi 11 millones de clientes.
Tras constatar inicialmente que la seguridad no era la adecuada, la Autoridad de Servicios Financieros (FSA) declaró entonces que los clientes de Nationwide habían quedado expuestos al riesgo de delitos financieros.
A pesar de pedir disculpas a los 11 millones de clientes afectados, el hecho de que Nationwide no supervisara ni gestionara las descargas de datos en los dispositivos de almacenamiento significaba que tenía un control limitado sobre la información que se guardaba en el ordenador portátil o sobre cómo se utilizaba.
No deje un agujero en la seguridad de sus datos
Aunque este tipo de infracciones centradas en las pérdidas de dispositivos no se produzcan tan a menudo, o a la misma escala que la de Nationwide, como los incidentes que acaparan titulares y que ahora vemos con una preocupante regularidad, no por ello son menos importantes.
Es muy fácil obtener acceso, o simplemente visibilidad, a información y datos críticos de la industria sentado en un viaje en tren de media hora. Algo que deja a muchas organizaciones con un agujero en sus esfuerzos de seguridad informática.
Para que las empresas ejecuten con éxito una estrategia de seguridad eficaz, deben ir más allá de la mera confianza en un software sofisticado, y dar un mayor sentido de urgencia a la seguridad física, y al creciente impacto que ésta tiene en el conjunto de la empresa.
Del mismo modo que las infracciones a gran escala pueden dañar no sólo las finanzas, la infraestructura y la base de clientes de una organización, la exposición de la seguridad física también va de la mano de la reputación. Si los datos de los clientes caen en las manos equivocadas, no les importará si fueron robados en línea o en persona, el efecto de la falta de confianza será exactamente el mismo.
Esto será aún más importante cuando entre en vigor el RGPD, ya que las empresas no podrán eludir las preguntas sobre cómo y dónde almacenan los datos de sus clientes y se verán obligadas a ser transparentes. Se reforzarán las condiciones para el consentimiento y se penalizará a las organizaciones que utilicen términos y condiciones largos e ilegibles en relación con el consentimiento de datos.
Para que las empresas tengan realmente una oportunidad de avanzar en el juego de la seguridad, es necesario dar más urgencia al aspecto físico, posiblemente "olvidado", de la seguridad de los datos como parte de un enfoque holístico.
Contribución de Atif Mahmood, director técnico de Targus.
