Un incidente de seguridad en la ONU, ¿por qué siguen pasando estas cosas?

Hace unos días, tropecé en la red con el siguiente titular: “La Organización de las Naciones Unidas deja expuestas por accidente contraseñas y documentos confidenciales”. Lo hacía público el equipo de Hispasec. Lo que más me llamó la atención no fue el hecho que contaba la noticia como tal, sino la situación. Es decir, que todavía hoy, durante el último trimestre de 2018, un año decisivo en la protección de datos de las empresas, este tipo de incidentes todavía encuentren cabida.

¿Por qué siguen ocurriendo este tipo de situaciones? ¿Qué podemos hacer para evitarlas?

La causa del suceso

Inmediatamente después de que suceda un hecho, lo primero que tratamos de buscar es su causa, su razón, su quid de la cuestión. En el caso que os estamos contando, parece ser que los responsables de tal riesgo han sido algunos servicios para gestionar proyectos, como Trello, Jira y Google Docs. Su mala configuración ha puesto en riesgo a la madre de todas las organizaciones internacionales existentes.

Inmediatamente después de leer esta noticia, la primera pregunta que se me viene a la mente es: Si le ha pasado esto a la ONU, ¿qué no nos puede pasar al resto del mundo? ¿Acaso no estamos a salvo? Desde luego, la implantación de los sistemas de seguridad exigidos por el Reglamento General de Protección de Datos (RGPD) solo pueden ser recibidos en nuestras compañías como fruto de nuestra toma de conciencia. Nadie va a venir a regalarnos un plus de seguridad.

Por eso, hoy quiero hacer una parada en la estación de la conciencia.

¿Qué significa tomar conciencia en la seguridad de nuestras empresas?

Las situaciones y las experiencias vividas durante los últimos tres años me enseñaron que, en la vida, el primer paso para cambiar una situación es tomar conciencia de ella. Aunque en un primer momento no supe darle nombre a este fenómeno, pronto aprendí que se trataba de comprender los aparentes sinsentidos de nuestra vida. En realidad, tiene toda la lógica, pues si no eres consciente de que una situación no es correcta o buena para ti o para tu empresa, ¿cómo vas a cambiarla? ¿Dónde quedan la seguridad y la transparencia de las empresas?

Bien, ha llegado el momento de trasladar este pensamiento a la seguridad de la información. Desde la entrada en vigor del RGPD en 2016, con su posterior periodo de adaptación durante dos años, muchas empresas europeas se han dado cuenta de que tenían que cambiar sus sistemas de seguridad.

Necesitan refuerzos que tienen la capacidad de cumplir ciertas funcionalidades concretas y necesarias, como la de compartir documentos fuera del perímetro de seguridad, además de reforzar el perímetro aplicando encriptado a todos los archivos. Es un poco como tener una alarma de seguridad para proteger la casa de ladrones, y, además, la caja fuerte más poderosa para resguardar tus pertenencias. El cifrado de datos y la tecnología que permite aplicar lógica IRM se integra con el resto de elementos de protección, suma capas de protección y es complementaria para proteger procesos concretos.

Como consecuencia, para el 25 de mayo de 2018, cuando se comenzó a aplicar el Reglamento, ya se habían adaptado a los requisitos de la nueva normativa. Habían tomado conciencia de la necesidad de proteger sus datos de una manera segura y transparente.

¿Qué estaba ocurriendo en la ONU?

En continuidad con el incidente producido en la ONU, bastaba con tener el enlace adecuado para lograr el acceso a la información. No hablamos de datos cualesquiera, sino de aquellos que pertenecen al nivel más alto de seguridad. Datos incluidos en lo que se considera información sensible. Y datos que pueden desencadenar multas de hasta 20 millones de euros. Hablamos de las “contraseñas de uno de los servidores de ficheros de la organización, las credenciales de un sistema de vídeo conferencia y de un servidor de desarrollo de una de las oficinas de Coordinación de Asuntos Humanitarios”.

Fue el investigador de seguridad Kushagra Pathak quien se dio cuenta del leak, por lo que lo notificó a la propia ONU. Bastó con hacer diferentes búsquedas en Google para darse cuenta de que se estaba produciendo un incidente de seguridad.

¿Qué podemos hacer para evitar estos problemas? Os lo contamos en próximos posts.