Dispositivos portables de almacenamiento

A principios de mes, leía en el Crypto-gram de Bruce Schneier un artículo donde analizaba los riesgos de los dispositivos portables. Me resultó curioso que él sacara el tema a raíz de un estudio que había llegado a sus manos al respecto. Hoy me ha llegado a mi el estudio, a traves de un blog via RSS que resulta ser de la prestigiosa compañia Gartner Group.

Dicho estudio advierte del riesgo asociado a estos dispositivos, puesto que pueden suponer un vehiculo idoneo para las fugas de información o una forma de introducir código malicioso evitando las medidas de protección contra el mismo.

En este tema en concreto, estoy de acuerdo con la visión de Bruce Schneier al respecto. ¿Por qué satanizar este tipo de dispositivos, si antes no se ha dicho nada de los CD, DVD, el mismo papel, y otros soportes magnéticos?
En el análisis de las diferentes amenazas asociadas al uso de este tipo de dispositivos, el destaca como principales:
1.- El robo deliberado de información.
2.- El uso descuidado de estos soportes utilizados como mecanismo para el transporte de grandes volumenes de datos.

En fin, como bien resume Schneier:
"In the end, you have to trust your employees. If they want to steal information, or if they make mistakes, they'll do it regardless of your precautions. You can change the mechanisms of those actions, but don't confuse changing mechanisms with making things safer."

El estandar ISO 17799:2002 establece la necesidad de clasificar la información. No todos los documentos son igual de importantes y por tanto, el circuito para tratarlos debe ser diferente. El problema vuelve a ser el mismo de siempre, "CULTURA DE SEGURIDAD DE LA INFORMACIÓN". Entornos como el militar o el sector sanitario SI están acostumbrados a diferentes canales de tratamiento, pero en una empresa corriente todavía no me imagino yo este asunto. Actualmente trabajo precisamente en eso, la implantación de la norma ISO 17799:2002 sobre una entidad financiera y creo que mis principales dificultades van a ser precisamente los temas que tienen que ver con los cambios organizativos que supone esta nueva forma de pensar y actuar con la información de la empresa. Yo al menos he tenido suerte, al plantearse internamente también la necesidad de implantar un sistema de gestión de calidad. Estoy aprovechado esa sinérgia para introducir en la definición de procesos los aspectos de la seguridad que la norma requiere y controlar también estos aspectos como parte del conjunto de indicadores de la calidad de un proceso.

Al final todo es una cuestión de responsabilidad personal y de definición del rol asociado al manejo de la información. Quien tenga documentos sensibles debe saber claramente cuales son sus funciones al respecto (Propietario, depositario o usuario de esa información) y sus responsabilidades asociadas a formar parte de una cadena de tratamiento de información.

Tema arduo complicado. De nuevo, la seguridad de la información depositada en un amplio tanto por cierto en las personas, porque en definitiva, la seguridad de la información es un proceso, no un producto.