viernes, 7 de enero de 2011

El negocio de las fugas de información: el caso Renault.

Hoy a salido a la luz una noticia sobre el supuesto caso de espionaje industrial que ha podido sufrir Renault con el diseño de su futuro coche eléctrico. Este no es sino un hecho más que sirve para concienciar a las empresas sobre la importancia que tiene la seguridad de la información dentro del funcionamiento habitual de los procesos de negocio en el siglo XXI, sobre todo, en aquellas que se dedican a la innovación. Cualquier charla que doy sobre seguridad de la información siempre empieza con unas de las primeras frases que aparece en la norma ISO 27002 y es que la información es un activo de toda organización, y como tal, debe ser protegido.

Los datos confidenciales de Renault que han podido ser vendidos, parecen estar relacionados con las investigaciones de la empresa francesa y su socio Nissan sobre las baterías de los automóviles eléctricos de segunda generación. Estos son estudios que tienen que ver con la estrategia de la compañía en los próximos años y que pueden colocar a ambas marcas en las primeras posiciones dentro del futuro mercado del vehículo eléctrico. Tanto es así que ambas marcas han desembolsado en este proyecto cerca de 4.000 millones de euros.

Sin embargo, parece que tres ejecutivos de la compañía han podido suministrar dicha información a agentes intermediarios que finalmente habrían podido acabar vendiendo los documentos en el mercado chino.

Hagamos cuentas por el lado del comprador. Si la información ha costado una inversión de 4.000 millones de euros y a cada directivo se le ingresa en cuenta 1.000 millones, la ecuación para el ladrón de secretos todavía sale con un saldo a favor de 1.000 millones. Ahí es nada.

Hagamos cuentas ahora por el lado del directivo tentado. ¿Cómo de honrado y leal debe ser un trabajador para soportar una tentación de 1.000 millones de euros?. Obviamente para resolver esta ecuación debemos pensar en varios factores. El primero, el nivel de remuneración del empleado que le lleve a garantizar los secretos tan relevantes que le han sido conferidos. Por otro lado, las consecuencias que podría tener dejarse llevar por la tentación y cometer el delito de revelar los secretos. Si 1.000 millones de euros compensan las consecuencias de revelar los secretos, la tentación posiblemente se resuelva con la venta de los datos. Es la ecuación de todo delito: Beneficio - coste o impacto.

No nos engañemos, el espionaje industrial es una de las fuentes más lucrativas dentro de los negocios relacionados con la inseguridad de la información. Hay compañías que están más dispuestas a robar los secretos industriales de sus competidores una vez que estos logran sus éxitos que a invertir en el proceso de la innovación que muchas veces no logra los objetivos y hace que el dinero invertido no se recupere. El robo de datos es, en este caso, una apuesta más segura dado que se invierte una vez logrado el éxito del proceso investigador.

Esto está también relacionado con las reflexiones que hace unos días hacía Bruce Schneier sobre el caso Wikileaks y de las que ya me hice eco hace un par de post. Por más que nuestra profesión trate de identificar las fugas, los puntos por los que la información se escapa hay una cosa que jamás podemos gestionar ni mejorar, la lealtad de las personas que trabajan en las organizaciones. A ello se suma, como apuntaba en los comentarios Joseba Enjuto, que las violaciones de la confidencialidad no son detectables hasta que se evidencia que la información ha sido filtrada (cuando ello deja signos visibles). En el caso del espionaje industrial, muchas veces lo que ocurre es que se producen similitudes sospechosas que dan que pensar aunque no se tengan pruebas.

No es este un tema nuevo pero si un tema recurrente. Lo bueno del blog es que siempre permite mirar hacia atrás y ver que las cosas se siguen repitiendo sin que aprendamos de los tropiezos. Ya en el año 2007 postee sobre una investigación del Gobierno Alemán sobre los casos de espionaje industrial que procedían de Oriente.  Se puede comprobar en las fotografías del diario alemán Spiegel como las similitudes son demasiado casuales como para no sospechar. La industria china es competitiva por el bajo precio de su mano de obra. Sin embargo, todavía no están tan capacitados para inventar. Sin embargo, en el espionaje industrial encuentran el atajo necesario para poder llevar al mercado productos de idénticas prestaciones pero precios mucho más atractivos. Es la forma que tienen, aunque sea haciendo trampas, de lograr hacer crecer su economía. Google este año lo ha sufrido también en sus propias carnes mediante la sofisticada Operación Aurora. Lo que empieza a ser muy claro es que esta forma de actuar forma parte de una estrategia orquestada del sector chino para rivalizar con la industria americana y europea. Os remito al documental de "Documentos TV" sobre "El negocio de lo falso".

Por tanto, tenemos que tener claro que para que la información de una organización esté protegida, se tienen que dar de forma simultanea, coherente y sincronizadas tres pilares esenciales:

  1. Deben implantarse las medidas tecnológicas necesarias para garantizar el uso correcto y autorizado de la información, de acuerdo a los riesgos detectados y la importancia de los activos a proteger. El principio de proporcionalidad como elemento para la toma de decisiones respecto al qué hacer.
  2. Como dice Schneier, la confidencialidad de un secreto está tan garantizada como la lealtad o la confianza que se pueda depositar en las personas que hacen de custodios del mismo. Por tanto, las personas siempre van a ser la clave de toda protección. La tecnología pone los medios pero las personas son las que finalmente hacen eficaces o no dichos mecanismos. 
  3. La auditoría como mecanismo de seguridad, como medida disuasoria con carácter preventivo y como elemento aclaratorio de los hechos con carácter correctivo.
Las empresas y los Gobiernos deben entender que el paso del mundo analógico al digital no solo supone cambiar el papel por archivos electrónicos. Detrás de esta evolución se debe entender que estamos en un nuevo contexto donde la información fluye de forma muy rápida y por tanto, su control es bastante más complejo. La desaparición de las restricciones físicas hacen que el problema tenga que ser abordado desde otras perspectivas y con un robustecimiento y posiblemente endurecimiento de las condiciones de manejo de la información.

El dramaturgo irlandés George Bernard Shaw acuño una frase célebre que representa perfectamente la diferencia entre los negocios basados en mercancías y los basados en el conocimiento.  La frase dice aproximadamente así:  "Si tú tienes una manzana y yo tengo una manzana e intercambiamos manzanas, entonces tanto tú como yo tenemos una manzana. Pero si tú tienes una idea y yo una idea e intercambiamos ideas, entonces ambos tenemos dos ideas".  Por tanto, las mercancías se intercambian pero el conocimiento siempre se comparte.

Y sólo hay dos maneras de aprender este nuevo contexto en la Sociedad de la Información: por las buenas o por las malas. Wikileaks es un ejemplo de aprendizaje por las malas, pero hay muchos ejemplos de aprendizaje por las buenas. Son los casos de aquellas organizaciones que siguen velando y protegiendo adecuadamente sus activos de información y de los que no se conocen incidentes. El problema es que cuando uno lo hace bien tampoco es notorio. Sólo sale a la luz el que comete errores y ve su información expuesta.

Trabajar en seguridad de la información es muy desagradecido porque, si no pasa nada, se supone que es tu trabajo o te acusan de ser demasiado paranoico. Pero si pasa, eres el máximo responsable cuando muchas veces no se implantan las medidas que propones. En fin, hay que asumir que es nuestro contexto y no puede ser de otra forma. Nadie puede felicitarte por haber evitado algo que no se sabrá que podía haber sucedido si no hubieras hecho bien tu trabajo. La prevención nunca tiene esa recompensa, ni en seguridad ni en cualquier otra disciplina. Solo requiere de confianza y decisión por parte de la Dirección de que siempre es mejor evitar que paliar daños.

5 comentarios:

Florencio Cano dijo...

El robo de información confidencial está a la orden del día. Cuando realizo consultoría o auditoría me doy cuenta de un fenómeno curioso pero totalmente lógico: cuando una empresa ha sufrido un determinado incidente de seguridad, aplica las medidas correctivas necesarias para que no se repita. Si una empresa no ha sufrido un determinado incidente de seguridad, piensa que es muy improbable que suceda y que no es rentable aplicar medidas preventivas.

Es poco habitual que una empresa anuncie que ha sufrido un robo de información confidencial, de información propia o de sus clientes, por lo que las empresas que no han sufrido un incidente de este tipo piensa que es improbable que les pase a ellas.

Con las medidas de seguridad oportunas, tal como comentas, podrían reducir el riesgo hasta un nivel más adecuado.

Estoy de acuerdo en parte con que el trabajo en seguridad informática, especialmente ser el responsable de seguridad, puede ser una tarea desagradecida pero creo que un trabajo bien hecho siempre es reconocible, que las métricas e indicadores son un punto de apoyo fundamental, que el ROSI (retorno de la inversión en seguridad) aunque muy abstracto puede ser útil en ocasiones y en todo caso los conceptos de riesgo, reducción y aceptación de riesgo residual deben ser algo asimilado por Dirección.

Anónimo dijo...

Tienes toda la razón del mundo. Seguramente Renault no debe ser un caso de falta de implantación de medidas de seguridad, sino más bien todo lo contrario. Pero si al final, aquellos que son los encargados de ordenar su implantación, son los primeros en incumplirlas y robar la información, poco o nada se puede hacer al respecto. Siempre llegará un punto en el que por muchos medios que pongamos, dependeremos única y exclusivamente de la lealtad del trabajador y su ética, por muchos contratos de confidencialidad que les hagamos firmar. El factor humano, por mucho que se digitalize la sociedad, seguirá existiendo y la tentación siempre estará ahí si alguien te pone el caramelo.

Javier Cao Avellaneda dijo...

Si, estoy completamente de acuerdo contigo. No se si es problema de la cultura de nuestro país pero aquí eso de que "Cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar" se aplica poco. Se aprende a base de incidentes y aun con eso, a veces cuesta justificar el por qué de algunas de las medidas de seguridad.

El problema del ROSI es cómo valorar posibles impactos de hechos o eventos que no han sucedido. Comparto contigo que siempre la prevención será más barata que la recuperación de un incidente, pero cuando te basas en supuestos, nunca puedes estimar cuales serían los peores daños. Tenemos un ejemplo claro con el incidente de BP en el Golfo de México. El ahorro de costes en las medidas de seguridad parece que ha sido una de las causas de un incidente que va a costar reparar como mil veces más de lo que hayan podido ahorrarse al relajar o abaratar las medidas. La cuestión es que nadie puede imaginar con caracter previo qué consecuencias tiene abaratar costes en seguridad y si el responsable pinta el peor de los escenarios, puede que acaben llamándolo paranóico o catastrofísta. Por eso es complejo eso de medir el ROSI aunque es cierto que es la única fórmula que puede acabar entendiendo la Dirección. La decisión respecto a cuanto me cuesta evitarlo frente a cuanto cuesta reparar daños.

Joseba Enjuto dijo...

Para este caso, creo que mejor me remito al post sobre la confianza en el personal privilegiado... ampliando las consideraciones a los directivos, que no dejan de ser otro tipo de personal privilegiado.

Anónimo dijo...

Estoy de acuerdo con lo que comentáis, no obstante en el caso BP la seguridad ha sido otra excusa más (se ha revisado la seguridad del resto de plataformas? NO).

 
;