Errores graves

Hace unos días publiqué un post sobre un error de un administrador de sistemas que había provocado pérdidas millonarias. Podría parecer una simple anécdota, pero las estadísticas dicen que este tipo de incidentes son más habituales de lo que podríamos pensar.

Para suscribir esta última afirmación me remito a esta noticia de hace algunos días, donde se hacen eco de un informe del IT Policy Compliance Group que afirma que los errores humanos son la causa del 75% de los incidentes cuyo resultado es la pérdida de datos sensibles. Es decir, que de cada 4 veces que se pierden datos sensibles, 3 es por culpa de un error humano, y una de ellas se debe a vulneraciones de las políticas de seguridad establecidas.

Para tratar de resolver estos problemas, el informe hace algunas sugerencias. Unas son tecnológicas, como implementar medidas técnicas que limiten la posibilidad de cometer esos errores. Otras son de personal, donde nos encontramos con la contramedida más clásica de todas, la formación (y una de las más efectivas si se hace bien, no lo olvidemos). Pero el informe también propone medidas de gestión de la seguridad "pura", como es que las empresas identifiquen su información más sensible. Parece algo obvio, pero sin embargo es sorprendente la cantidad de organizaciones que hay en las que la información no está clasificada, y en las que cuando se pregunta por la información crítica, cada persona tiene una respuesta distinta.

En resumen, el informe no descubre nada nuevo, pero pone de manifiesto que la mayor parte de los incidentes de seguridad son de origen humano, y nos recuerda que para atajarlos no basta con los controles más clásicos, sino que es necesario implementar medidas de gestión global de la seguridad de la información si queremos alcanzar realmente los niveles de riesgo deseados. Aunque si no seguimos los consejos, siempre nos queda la posibilidad de asumir riesgos de pérdida de información valorados en millones de euros...