Si bien se supone que estamos en la era de las oficinas sin papel, las filtraciones a través de documentos impresos siguen siendo algo común y pueden ser tan dañinas como sus contrapartes digitales. La mayoría de nosotros comprende la necesidad del papel, pero ¿reconocemos siempre el riesgo de la visualización o la toma no autorizada de un documento?
Pérdida de datos: un problema escondido a la vista de todos
"he visto documentos financieros, contratos y datos de clientes descansando en bandejas de impresoras"
La toma de documentos sensibles queda de manifiesto en el caso reciente de Reality Winner, una contratista de la NSA encarcelada la primera semana de junio luego de que se descubriera que manejó “inadecuadamente” documentos confidenciales (según reportó el New York Times). Se la acusó de "reunir, transmitir o perder información de defensa".
Con las fugas de información en el radar de las administraciones de los Estados Unidos, investigadores internos descubrieron documentos que habían sido dañados (arrugados) y, por lo tanto, probablemente impresos, retirados y posteriormente devueltos a su ubicación segura.
Como reportó el NY Times, la señora Winner, una veterana de la Fuerza Aérea de los Estados Unidos, admitió casi inmediatamente el crimen, señalando la motivación que tuvo para resistir los movimientos del gobierno para erigir un muro fronterizo con México, junto con su publicación del hashtag #NeverMyPresident en Twitter.
Aunque la mayoría de los incidentes no involucran niveles tan altos de intriga internacional y propósito intencionado, incidentes de seguridad similares ocurren casi diariamente en cada compañía.
El control de documentos es una cuestión de reputación
Así como hay formas de auditar, gestionar y proteger documentos electrónicos, también hay formas de gestionar documentos impresos. Entonces ¿cómo proteger tu información impresa para que no caiga en las manos equivocadas? ¿Hay otras amenazas que deberíamos considerar?
Error humano, el probema más común
Como consultor que ha hecho su experiencia ejecutando auditorías de seguridad en pequeñas y medianas empresas, recuerdo un caso en el que un empleado de una compañía en Frankfurt hacía viajes de trabajo regularmente para visitar a un subcontratista. Además de las impresoras que usaba en su oficina, su laptop también estaba configurada para varias de las impresoras del subcontratista.
Un día, mientras estaba en uno de estos viajes, un colega de su oficina en Frankfurt recibió un mensaje suyo, diciendo: “Corre hacia la impresora, toma el documento, no lo mires y tritúralo”.
Lo que sucedió es que el empleado decidió imprimir una base de datos de información personal de clientes, pero eligió la impresora incorrecta para hacerlo. El problema es que cuando mandas un documento a una impresora remota, cualquiera en la organización puede acceder a él, y no se requiere un actor malicioso externo para que esto sea un problema de seguridad. Imagina a un empleado cualquiera revisando contratos importantes o los salarios de la gerencia por accidente… Claramente, estas situaciones pueden ocasionar problemas dentro de la compañía.
"si vas a la impresora y no encuentras tu documento, lo consideras una falla de hardware y no un incidente de seguridad"
Cuando se trata de un atacante interno o externo, puede fácilmente tomar documentos de la impresora e irse con ellos. Además, si vas a la impresora y no encuentras tu documento, lo más probable es que lo consideres una falla de hardware y no un incidente de seguridad en el que alguien está tratando de explotar tu información con fines maliciosos.
Prevenir significa gestionar la impresión de documentos sensibles. Una solución posible es enfocarse en la segmentación de red para impresoras específicas o tener algunas dedicadas a tareas específicas en áreas seguras. Por ejemplo, que Recursos Humanos tenga su propia impresora en una oficina aparte desde la que pueda imprimir regularmente su información sensible.
De manera alternativa, las empresas pueden optar por un producto de Data Loss Prevention (DLP). Estas aplicaciones definen qué información puede ser impresa en determinados equipos y quién puede hacerlo. Una ventaja de esta solución técnica es que si hay actividad no autorizada, el sistema registra el incidente, notifica al usuario de los riesgos y puede bloquear la impresión. Las potenciales brechas disparan alertas, que luego se envían al gerente de seguridad o a la persona designada.
Otras opciones incluyen las soluciones de gestión de impresiones, que permiten hacerlo solo después de una autenticación explícita del usuario (por ejemplo, uso de una tarjeta contactless inteligente en la interfaz de usuario de la impresora).
Los documentos importantes están en todos lados
Como mencioné a Recursos Humanos arriba, debería contar sobre la gran cantidad de veces que he visto CVs impresos descansando en escritorios, mesas compartidas y, por supuesto, bandejas de impresoras. Comúnmente contienen anotaciones y comentarios de los gerentes y reclutadores, y además tienen el potencial de causar conflictos interpersonales basados en la especulación sobre seniority, liderazgo y paga.
En compañías grandes, vemos documentos financieros, contratos y datos de clientes. Una vez estaba visitando una compañía como auditor de incógnito, y vi un documento en la bandeja de una impresora en un pasillo. Solo me tomó unos pocos segundos descubrir que la compañía quería comprar una propiedad. Vi los precios que estaban negociando, información de contacto de las personas relevantes, un análisis de potencial del negocio y los resultados de un análisis FODA interno.
"me tomó dos segundos capturar la información e irme con ella en mi bolsillo"
Con el teléfono siempre listo, solo necesitaba dos segundos para capturar esta información e irme con ella en mi bolsillo. De manera similar, en el corredor de una compañía del rubro de la salud, encontré una vez un documento que contenía datos personales de pacientes y registros médicos mientras esperaba para tener una reunión.
Cuando los documentos que contienen información sensible se dejan en un pasillo u otro espacio público, es en esencia un problema de seguridad física. Para reducir los riesgos relacionados a esta exposición, recomendamos sacar las impresoras de los lugares que son accesibles para invitados o el público general. También es importante implementar y hacer cumplir una política de clear desk. No es suficiente por sí sola, claro: lo mejor es apoyarla con capacitaciones y auditorías internas regulares.
Cuando una compañía ya tiene un plan de clasificación de datos implementado, puede señalar documentos con las marcas de agua “sensible”, “interno” o “confidencial”. Así, los empleados pueden ver qué información deberían estar protegiendo.
Otro punto a añadir aquí es prestar atención a los departamentos o unidades que suelen imprimir mucho y evaluar el nivel de riesgo que suponen para la organización. Los equipos de Recursos Humanos, Marketing y Relaciones Públicas son algunos de ellos y tienen acceso a información corporativa sensible. Por lo tanto, su capacidad para hacer o deshacer la reputación de una empresa significa que sus "comportamientos" de impresión podrían merecer un examen más detenido.
Cómo imprimir controlando todos los aspectos necesarios
Entre los aspectos más importantes relacionados con la exposición de los datos sensibles impresos está que este tipo de incidentes ocurren con mucha frecuencia. Por lo tanto, es muy probable que causen muchos problemas si no se previenen en primer lugar.
Al igual que con la seguridad de la información en su conjunto, la protección de los datos físicos debe ser una combinación de controles organizativos, físicos y técnicos:
- Un buen primer paso es ejecutar una auditoría de impresión, lo cual suele revelar problemas de seguridad como información sensible que se imprime innecesariamente, o problemas en la seguridad física.
- Luego de que se identifican los riesgos, es lógico proceder con la implementación de medidas de seguridad: establecer políticas, capacitar a los usuarios, implementar una solución de gestión de impresión o de Data Loss Prevention.
- Al igual que con otros posibles canales de fugas de datos, la impresión de documentos debería ser objeto de auditorías periódicas. Una empresa debería ajustar las medidas de seguridad de acuerdo a los resultados de la auditoría.
A fin de cuentas, deberías recorder que el empleado (el usuario) es la parte más importante de la seguridad de la información. Las compañías deberían trabajar en la capacitación, la motivación y la lealtad: sin ello, la ocurrencia de un incidente de seguridad es cuestión de tiempo.
Sobre el autor: Matej Zachar es Project & Security Manager @Safetica Technologies, Data Protection Expert y miembro de ESET Technology Alliance.