Tenía para hoy otro artículo, pero me ha parecido más interesante publicar este primero.
El caso es que este mismo fin de semana, en un alarde de valentía, la Unión Europea publicaba el documento PDF con el contrato que había firmado con la farmacéutica AstraZeneca para la compra de millones de dosis de la vacuna contra el coronavirus.
Por supuesto muchos corrieron a ver cuáles eran las condiciones y el coste total, pero para su sorpresa se encontraron con que buena parte del documento estaba tachado, de forma que incluso había páginas con párrafos completos en negro, lo que en la práctica, como cabría esperar, ocultaba casi todo lo interesante que podría tener un documento como este.
Sinceramente, movimientos como estos no sé cómo pasan el escrutinio de un departamento de comunicación serio.
Si lo que se buscaba era transparencia, publicar un documento con casi todo su contenido censurado da de todo menos confianza.
Pero bueno, ya de hacerlo, al menos hazlo bien.
Y es que al parecer el administrativo que preparó el documento, como decía, lo hizo con marcadores.
¿El corolario? Pues que esto es una muy pero que muy mala decisión.
Leak de información privada por mal uso de la tecnología
Al parecer el documento PDF se compartió sin previamente eliminar los marcadores, por lo que cualquiera desde un lector de PDF que permita mostrar marcadores de documento, podía eliminar los tachones y ver el contenido íntegro del contrato.
Y hay que decir, por cierto, que tampoco es que lo que ocultaba ese documento censurado fuera sorprendente. Es más, buena parte de los datos ya se conocían, lo que deja aún en peor situación la decisión de ocultarlo.
Por supuesto cuando se enteraron, desde el equipo de comunicación de la UE han eliminado el PDF de sus servidores y subido otro que, ya sí, no permite acceder a los marcadores.
Pero el daño ya está hecho, y pulula por Internet mil y un copias del contrato íntegro, sin la censura previa, para escrutinio de los interesados.
Este caso, que seguramente ha tenido más impacto mediático por tratarse de una filtración de datos confidenciales debida a un trabajador de la UE y/o de una de las farmacéuticas más en boca de todos últimamente, es el pan nuestro de cada día en la consultora, y lamentablemente en muchas otras organizaciones.
De hecho por Xataka (ES) un usuario comentaba varios sucesos parecidos que habían ocurrido últimamente:
Una vez un proveedor nos mandó un PowerPoint con un Excel incrustado incluyendo todo tipo de datos, incluyendo la planificación “real” oculta, mucho más atrasada que la planificación que venía etiquetada como “para el cliente” 😄, que es la que se veía en el power point.
Y documentos de políticos, filtrados o no, en los que los datos de autor y otros metadatos revelan quién ha estado metido en el ajo o cómo por fecha es una falsificación, ha habido infinidad de casos.
Eso por no hablar de documentos creados con fuentes varios años más modernas que las fechas de dichos documentos.
O el fallo judicial referente al juicio de la manada (no recuerdo si el propio juicio o el derivado de la publicación de los datos de la víctima) editado para quitar sus datos personales pero en el que se dejó un código que daba acceso al documento con precisamente dichos datos 🤦🏽♂️
Mucho cuidado con estas cosas
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
¿Cómo se pueden evitar este tipo de filtración de datos debidas al error de un trabajador?
Con unos planes de digitalización creados aprisa y corriendo, con buena parte de sus trabajadores teletrabajando y conectándose por tanto con dispositivos y desde redes no protegidas por el departamento de IT, lo normal es que cualquier movimiento, por banal que pueda parecer, entrañe un riesgo que puede poner en jaque a toda la organización, y suponer una crisis reputacional como al que ahora mismo está sufriendo la Unión Europea, y en menor medida AstraZeneca, con esta filtración de datos por parte de un trabajador.
Sin ir más lejos el jueves pasado contaba cómo habían intentado hackear a uno de nuestros clientes aprovechándose del poco conocimiento técnico que tenía uno de sus trabajadores. Y de paso, cómo el tenernos a nosotros detrás evitó que el problema fuera a más, al percatarnos al momento y poner medidas de contingencia.
Y ojo, que no hablamos de trabajadores que quieran hacer daño a la organización, sino a un simple error por no tener las competencias digitales adecuadas para la responsabilidad que en este momento están asumiendo. En muchos casos, de hecho, sin conocimiento de causa sobre dicha responsabilidad, lo que es aún más grave (ya no solo no sabes qué lo que estás haciendo está mal, sino que además tampoco eres consciente de lo que estás haciendo).
Lo peor de todo es que este tipo de problemas se resuelven de dos maneras:
- Con un programa de formación en competencias digitales básicas: Dirigido a diferentes miembros de la organización (directivos, administrativos, técnicos…), según sus necesidades. Un taller o una dinámica de grupo de uno o dos días puede evitar la mayor parte de riesgos reputacionales que afectan a una organización, a poco que los participantes se queden aunque sea con un 5% de lo explicado.
- Con un compliance efectivo: Que vaya más allá de la documentación que OBLIGATORIAMENTE tiene que tener la empresa. El departamento IT no está ahí para joder al administrativo, sino para ayudarle y asesorarle a la hora de utilizar las herramientas que éste y otros departamentos necesitan para hacer sus labores. Monitorización y prevención de riesgos como base de cualquier sistema informacional.
Piensa si algo así podría pasarte mañana en tu empresa.
Y si es que sí, pon lo antes posible remedio.
