Cyber-Seguridad: DLP ¿Qué es? El caso de Gregorio Salazar

13/11/2017

Francisco Canos.

Con la vista perdida en el horizonte, Gregorio Salazar repasaba mentalmente las estresantes horas vividas durante el día. El sol iba tiñendo de tonos rojizos el anochecer de Madrid. Las vistas eran privilegiadas desde el ventanal de su despacho en la planta 33 de las Cuatro Torres. La mente de Gregorio no estaba para disfrutes. Sus preocupaciones eran otras. Al día siguiente tenía que explicar al Consejo por qué acababan de perder un contrato de casi tres mil millones de euros para la construcción de una mega-infraestructura en un país del Golfo.

¿Qué había ido mal? La licitación del proyecto había seguido su curso habitual. No en vano, la multinacional para la que trabaja Gregorio era un grande del sector. Un “key player” que dicen los anglosajones. La parte técnica, aunque compleja, no había resultado un escollo para el departamento técnico. Su experiencia de tantos años trabajando para el Estado español, le habían servido de magnifica carta de presentación en su expansión internacional. Aún recordaba aquellos temores, qué tiempos, en los que codearse con los entonces grandes del sector (“big fish companies”) daba vértigo. Qué iba a hacer un pececillo español entre tanto tiburón internacional. La sorpresa fue mayúscula, no por el resultado, sino por la rapidez. Ser capaz de gestionar de manera eficiente, flexible y con los máximos niveles de calidad exigible eran algo a lo que Gregorio estaba acostumbrado. De la necesidad virtud, decían. Y de la virtud, la excelencia. El pececillo se había convertido en una referencia. Ya no pasaban desapercibidos. El mercado sabía que sus propuestas marcaban el límite entre lo posible y lo rentable. Un “benchmark” para el mercado. Igual ese había sido el principio del problema. Ya no pasaban desapercibidos. Mucha gente estaba pendiente de qué podían decidir. Esta información valía su peso en oro, y eso es un gran motivador para los amigos de lo ajeno.

A primera hora de ese día, y siguiendo el normal funcionamiento de estas licitaciones, se envió la oferta. La parte técnica ya estaba superada y cualificada. Quedaba la oferta comercial. Horas y horas de discusiones internas, con el departamento comercial, el financiero, el de estrategia corporativa, con los banqueros financiadores del posible proyecto, con los consultores, con los abogados internos y externos.

Había que ver las implicaciones de cada presupuesto. Cada euro a financiar podía significar la diferencia entre ganar o perder mucho dinero. Las implicaciones legales. A modo de leyenda negra, había corrido por los mentideros internacionales la fama de licitar en el borde de la llamada Baja Temeraria. Decían estos que así ganaban licitaciones a un precio inviable, pero que lograban hacer rentable a lo largo de la implementación de la obra gracias a los famosos replanteos, que incrementaban el precio y el margen. Una versión corregida y aumentada del famoso “Poyaque” del mundo del ladrillo…”Pues ya que estamos…pon dos grifos más aquí, quítame el tabique allá y añade un suelo de mármol que queda mejor…” y el presupuesto inicial acaba doblándose. No era el caso aquí, pero convenía tener todos los frentes atados y en eso los abogados llevaban la voz cantante.

Al final, todo se resumía en el contenido de ese sobre lacrado que se mandó a última hora de la mañana. El famoso sobre con el “último precio” estaba encima de la mesa. Estaban seguros que iba a ser el mejor.

La sorpresa primero y la indignación después fue mayúscula cuando al abrirse los sobres mandados por los licitantes, apareció un precio de un competidor internacional justo cien mil dólares más bajo que el suyo, que quedó segundo y por tanto el primero de los perdedores. ¿Qué había pasado? En estos procesos, esta diferencia tan pequeña era absurda. En un proyecto de casi mil millones de euros, una diferencia del 0,01% es irreal. Algo olía a podrido y no era precisamente pescado.

Gregorio se temió lo peor. Así que llamó directamente a Manuel Ruiz, el responsable de la seguridad del grupo. Manuel se había incorporado no hace mucho. Era el fruto de la insistencia de los consultores de la casa. Tenían que cumplir con lo que todo el mundo ya empezaba a considerar una exigencia. Se le denominaba CISO (Chief Information and Securtiy Officer en la lengua de Shakespeare). Pero tener esa etiqueta cubierta no era suficiente. Manuel se había ganado a pulso la fama de “aguafiestas”. Todo tenía un riesgo, todo había que revisarlo. Husmear por los distintos departamentos preguntando, tratando de entender los procesos, y mostrando a la gente los numerosos puntos de vulnerabilidad y posible riesgo de acceso inapropiado a la información confidencial, no ayudaba a crear amigos. Que además hubiese sugerido a la Dirección que la cyber-seguridad en la casa no era sólo cuestión de cortafuegos, antivirus y similares, sino que era una labor de todos, cada uno en su ámbito, tampoco ayudaba. Un tema de cultura empresarial. Queda muy bonito, esto de la cultura de la casa, pero había que fomentarla, y eso implicaba involucrar a muchos departamentos para establecer las normas y procedimientos. Desde legal, hasta recursos humanos, pasando por el soporte de la alta dirección. Seminarios, presentaciones, cuestionarios que rellenar, no son precisamente mano de santo para hacer amigos.

Manuel era una persona inquieta, con amplia experiencia tanto a este lado de la barrera como en el otro. Parte de su curriculum venía dado por su pasado como hacker bueno. En un mundo global, a Manuel ya le habían puesto la etiqueta de White Hat Hacker y en los mentideros internacionales era conocido y había labrado sus conexiones, especialmente con gente de EEUU e Israel, por distintos motivos considerados referencias mundiales en la Cyber-Seguridad. Ese mismo día había tenido una reunión muy interesante con unos colegas de Israel sobre los últimos avances en Cyber-Seguridad. A Manuel le convenció el Consejero Delegado de la empresa para que se uniera a ellos. Gregorio era un firme convencido de que el mundo actual es un mundo cada vez más y más digital en el que la información es poder y el acceso inadecuado a la misma puede tener terribles consecuencias.

No hacía mucho que Manuel estaba en la empresa y aunque había implementado considerables avances, era consciente de que aún quedaba mucho camino por recorrer. Lo que no pensaba es que entremedias el impacto pudiera ser tan grande. Aún no estaban del todo listos.  Manuel entró en el despacho. Gregorio le puso al corriente. El rostro de Manuel se iba ensombreciendo por momentos. Lo tenía claro. Era un ejemplo nítido de filtrado de información. Lo que en el mundillo se conoce como DLP (Data Loss Prevention). El daño ya estaba hecho. Sólo quedaba analizarlo y ver qué se podía hacer para encontrar qué o quienes estuvieron involucrados, y minimizar el riesgo de que algo así se volviera a repetir. Gregorio asintió, no se podía consentir que se repitiese. Unas cuantas licitaciones más que se perdieran de esa forma y la viabilidad de la empresa podría empezar a correr serio riesgo.

Manuel empezó a hablar. Los DLP’s son de las cosas más complejas y vulnerables que existen. Suelen intervenir muchísimas variables, sobretodo humanas, que incrementan mucho las posibles fuentes no deseadas de salida de información. Se imponía un proceso nuevo de control de información en procesos de licitación. Ya no sólo era suficiente el establecimiento de las famosas “data rooms” en donde se supone que se aislaba tanto la información como a la gente con acceso. Procesos de licitación que duran días o semanas. Largos días, largas noches. Trasiego de papeles, acceso remoto, trabajo que uno se lleva a casa, ese portátil que hemos conectado al wifi doméstico. Todo ello son posibles fuentes (de acceso muy fácil) a la interceptación de información. El control puede llegar a ser intrusivo, y cuanto más importante es la información, más alto suele ser el directivo con acceso a la misma y menos su receptividad a ser “forzado” a utilizar los medios que les digan desde seguridad y no el iphone último modelo que le gusta más. Sin embargo, le quedaba claro a Manuel que todo lo anterior, ya en su mayoría implementado, no era suficiente.

Le vino a la mente el comentario de su colega israelí sobre procedimientos. Ningún elemento de software o hardware puede ser eficaz sin una cultura de Cyber-Seguridad incorporada como parte esencial en el funcionamiento de las personas involucradas con la empresa. En los servicios de inteligencia más desarrollados del mundo, los móviles se dejan a la entrada. No hay ninguna reunión en la que dejen tener algún tipo de aparato electrónico que no haya sido controlado. Es más, eso todavía no es suficiente. Se implementan medidas que puedan tanto monitorear todas las comunicaciones que se puedan establecer como incluso bloquear que se produzcan comunicaciones hacia el exterior, como transmisión de datos o videos grabados. Le comentaban que incluso se pueden llegar a implementar medidas contra elementos pasivos como grabadoras digitales. Le llamó la atención saber que era más difícil controlar una grabadora antigua analógica que una moderna digital. Es difícil impedir que alguien grabe mediante un bolígrafo-grabadora o similar y que en cuanto salga del “data room” trasmita el archivo por cualquier red disponible.

Les preguntó en tono desenfadado que si la única manera de controlar eso era forzarles a entrar en el Data Room como Dios les trajo al mundo, la cosa no iba a ser bien recibida. Tras las correspondientes sonrisas, recordaba las alternativas que le pusieron encima de la mesa. Ahora las iba a compartir con Gregorio.

Pd: Todos los nombres, referencias a empresas, localizaciones, y eventos son meramente ficticios, no se corresponden con ningún caso concreto, han sido utilizados para ilustrar un caso de posible impacto de la filtración de información dentro del mundo empresarial a través de la Cyber-Seguridad y su posible coincidencia con casos reales es eso, mera coincidencia.

¿Te ha parecido interesante?

(+2 puntos, 2 votos)

Cargando…