Que se entende por “datos en tránsito”?
Os datos en tránsito son calquera información que se move do punto A ao punto B. Este movemento pode ser por medios técnicos (dun ordenador a outro) ou por medios físicos.
Cando se fai a través de medios técnicos, xa se envíe un correo electrónico a través de Internet ou introducimos datos nun sitio web, son necesarias medidas de protección. Estas medidas son competencia do Departamento de TI e denomínanse “cifrado de comunicacións”. Estas medidas poden incluír o uso de contrasinais, certificados dixitais, autenticación de dous factores e sistemas VPN para acceder, recuperar e transferir información.
Pero hoxe non falaremos deste aspecto máis técnico. Centrarémonos unicamente no aspecto físico, que é responsabilidade do Usuario , é dicir, da persoa que accede á información corporativa de forma remota (desde casa ou doutro lugar), ou quen a transporta para viaxes de traballo ou visitas.
Ademais, cando falamos de datos en tránsito, non debemos pensar só na información en si, ou é dicir, nun documento dixital ou físico. Tamén temos a responsabilidade de protexelo mesmo cando viaxa en dispositivos aparentemente seguros. E iso implica aplicar un principio que sempre se lembra en lugares públicos como estacións de tren, aeroportos, etc. Non deixar sen vixilancia obxectos persoais ou obxectos, que inclúe maletíns físicos, ordenadores, unidades USB, teléfonos móbiles e/ou tabletas, e calquera outro “contedor de información”.
Que incidentes de seguridade podemos experimentar en relación aos datos en tránsito físico?
- ROUBO: Podemos ser vítimas de roubo de datos, tanto en lugares públicos como no transporte público onde alguén pode roubar, por exemplo, un ordenador, e tamén se alguén entra no noso vehículo para roubar o seu contido.
- PERDA: A diferenza do punto anterior, onde un terceiro obriga a situación, a perda de datos adoita deberse a un erro humano ou descoido no seu coidado. Polo tanto, é a nosa responsabilidade ter coidado coa información, especialmente se estamos fóra do ambiente de traballo.
- CONEXIÓN NON SEGURO: Non é raro, sobre todo cando estamos de viaxe ou en movemento, tentar conectarnos ás redes Wi-Fi dispoñibles en trens, hoteis, aeroportos, restaurantes, etc. para que a conexión a internet sexa máis rápida e funcione mellor. Neste sentido, hai que ter coidado e só conectarse ás redes Wi-Fi oficiais do establecemento. O mellor é confirmalo co persoal nun punto de información, recepción ou centro de atención ao cliente antes de conectarse.
- ACCESO NON AUTORIZADO: Tanto se buscamos información nun avión, nun tren ou nunha cafetería, debemos ser conscientes dunha técnica chamada “mirar por riba do noso ombreiro”, que implica que as persoas que nos rodean poidan ver as pantallas do noso teléfono móbil ou do ordenador ou os documentos físicos que estamos lendo. Non sempre teñen un interese penal en coñecer esa información, pero ás veces podemos cometer o erro de proporcionar datos sen querelo a un terceiro non autorizado. E podería darse o caso de que este terceiro as utilice posteriormente no seu propio interese. Polo tanto, a nosa recomendación neste sentido é tratar e procesar a información estrictamente confidencial (incluídas as respostas aos correos electrónicos), preferentemente nun ambiente privado, lonxe de miradas indiscretas. É mellor aprazar a lectura deste ata que xa esteamos na casa ou nun cuarto de hotel.
Como podemos evitalo?
Como expertos en ciberseguridade, insistimos en que os usuarios, é dicir, todos os que traballan para unha empresa ou entidade, son outra medida de seguridade. De feito, somos os máis importantes, tendo en conta que, a diferenza das máquinas e dos programas informáticos, as persoas actúan de xeito diferente en situacións semellantes, o que significa que podemos ser manipulados, enganados e cometer erros que conducen ao que chamamos incidentes de seguridade. Ou, noutras palabras, roubo, perda e acceso non autorizado á información corporativa que estaba baixo a nosa supervisión e que estamos obrigados a protexer para garantir a súa confidencialidade.
NOTA IMPORTANTE: Se tes a máis mínima sospeita de que viviches unha situación similar ou que foi vítima dun incidente de seguridade, non dubides en informar ao teu supervisor directo, ao CISO e ao departamento de informática para que che proporcionen o asesoramento axeitado. E a nivel persoal , denuncia o ataque cibernético á autoridade policial.
*Data de envío: 31 de marzo de 2025