viernes, 23 de noviembre de 2007

Gobierno del Reino Unido pierde datos

En el Reino Unido (RU), existe un programa que otorga beneficios a los padres de niños de ese país. El gobierno obviamente pide y almacena información de estas familias que reclaman el beneficio, como lo pueden ser nombre y apellidos, números de servicio social, cuentas bancarias y otros datos financieros, direcciones, años de nacimiento, etc.

A alguien que trabaja en esta organización gubernamental se le ocurrió mandar datos de 25 millones de personas en dos CD por correo. Sí, leyeron bien, en dos CD típicos y por correo no certificado. Para la mala suerte de esta persona, el envío se extravió y no ha sido encontrado. ¡Ah!, pero no está todo perdido, los CD fueron protegidos con contraseña, lo cual significa en pocas palabras que no está cifrada la información, por eso el término de "protegido con contraseña". Bueno, será fácil para alguien curioso poder leer los datos de los CD.

El punto aquí es que las políticas de seguridad de esa organización o fallaron o son inexistentes. Hoy en día una organización seria debe tener estas políticas que dictan la manera en que se pretende proteger la información que se maneja; en este caso el documento de la política de seguridad debería decir que no se debe enviar información en CD, y en el peor de los casos si lo haces que sea cifrado y con mensajería, por lo menos.

Esta es una lección para las organizaciones, ya que una falla de este tipo es realmente desde mi punto de vista, imperdonable. Es un ejemplo de lo que nos puede suceder si no manejamos la información como lo que es: un bien con valor. Por cierto, al empleado que hizo esto se le despidió y al Director de esa organización. Otro miembro del gobierno dijo que "siente profundamente este hecho y que se disculpa por la ansiedad que esto pudiera causar". Después de niño ahogado, ya para qué las disculpas.

Desde mi punto de vista y sin saber detalles del incidente, pienso que es esto se debió a un error de la política de seguridad, no debemos culpar al empleado que los mandó, sino a los altos mandos que no tuvieron el cuidado de impulsar a la seguridad en la organización, de implementar programas de concientización de seguridad, de no hacer del conocimiento de los empleados lo importante que es la información que manejan. Habría que ver si fue negligencia del empleado o más bien indiferencia de esa institución y del ya típico "eso aquí no nos va a pasar". Finalmente, podrán despedir a gente o sancionarlos de otra manera, pero el daño ya está hecho.
La noticia en:
http://www.infosecurity-magazine.com/news/071120_hmrc_lost_in_post.html