¿Qué se entiende por «información en tránsito»?
La información en tránsito es toda aquella que se desplaza de un punto A a un punto B. Ese desplazamiento puede ser a través de medios técnicos (de un ordenador a otro), o por medios físicos.
Cuando se realiza por medios técnicos, ya sea porque enviamos un correo electrónico que viaja por internet o introducimos datos en una página web, se requieren unas medidas de protección que son responsabilidad del Dpto. de IT y se llaman «cifrado de las comunicaciones». Esas medidas pueden pasar por utilizar contraseñas, certificados digitales, dobles factores de autenticación y sistemas de VPN, tanto para consultar, como extraer y transferir información.
Pero hoy no hablaremos de esta parte más técnica, solo nos centraremos en la parte física, responsabilidad del Usuari@, es decir, de la persona que está accediendo en remoto (desde su domicilio o cualquier otro lugar) a información corporativa, o que la transporta por motivos de un viaje, visita de trabajo o porque necesita seguir trabajándola en su domicilio.
Además, cuando hablamos de datos en tránsito, no debemos pensar solo en la información como tal, o lo que es lo mismo, en un documento digital o físico, sino que tenemos también la responsabilidad de protegerla aunque viaje dentro de dispositivos aparentemente seguro. Y esto implica, aplicar un principio que siempre se recuerda en lugares públicos como estaciones de tren, aeropuertos, etc. no dejar desatendidas las pertenencias u objetos personales, entre los cuales se entienden incluidos los portafolios físicos, los ordenadores, los USB, los teléfonos móviles y/o tablets y cualesquiera otros «contenedores de información».
¿Qué incidentes de seguridad podemos sufrir y cómo prevenirlos?
- ROBO: Podemos ser víctimas de robo de datos, tanto en lugares y transportes públicos donde nos puedan sustraer, por ejemplo, un ordenador, como también si fuerzan la puerta de nuestro vehículo para robar su contenido.
- PÉRDIDA: A diferencia del punto anterior, en el que hay un tercero que fuerza esa situación, la pérdida de datos suele ser por error humano o despiste en su cuidado. Por lo que es nuestra responsabilidad ser cuidadosos con la información, especialmente si nos encontramos fuera del entorno laboral.
- CONEXIÓN INSEGURA: No es poco habitual, especialmente cuando nos encontramos de viaje o en desplazamiento, que nos intentemos conectar a redes WIFI disponibles en trenes, hoteles, aeropuertos, restaurantes, etc. para que la conexión a internet sea más rápida y funcione mejor. En este sentido debemos ser cuidadosos y conectarnos solamente a aquellas WIFI que sean oficialmente del establecimiento, y para ello es preferible confirmarlo con el personal de un punto de información, recepción o atención al cliente, antes de realizar la conexión.
- ACCESO NO AUTORIZADO: Tanto si consultamos información en un avión, en un tren o en una cafetería, debemos ser conscientes de un tipo de técnica que se llama «mirar por encima del hombro», que implica que las personas a nuestro alrededor puedan tener dentro de su campo de visión nuestra pantalla de móvil y de ordenador o la documentación física que estamos leyendo. No siempre tienen por qué tener un interés delictivo en conocer esa información, pero a veces podríamos caer en el error de estar facilitando datos, sin que nos demos cuenta de ello, a un tercero no autorizado. Y se podría dar el caso de que ese tercero posteriormente los utilice en su interés. Por lo que nuestra recomendación a este respecto, es tratar y trabajar la información que sea estrictamente confidencial (incluida la respuesta a e-mails), preferiblemente en un ámbito privado, alejados de miradas indiscretas. Es preferible posponer esa lectura para cuando ya estemos en nuestro domicilio o en una habitación de hotel.
NOTA IMPORTANTE: Si tienes la mínima sospecha de haber sufrido una situación similar o has sido víctima de un incidente de seguridad, no dudes en comunicárselo a tu responsable directo, al Responsable de Seguridad CISO y al departamento de IT, para que puedan aconsejarte adecuadamente. Y a nivel personal denuncia el ciberataque ante la autoridad policial.
