Increíble pero cierto, como muestra en el título, es el colmo del descuido, después de todo el histórico revuelo mediático alrededor de las filtraciones de WikiLeaks, resulta que la NASA, ha revelado que, dentro de su programa de reciclaje de equipos informáticos, vendió diez ordenadores sin haber eliminado previamente los datos que éstos almacenaban.
Increíble pero cierto, como muestra en el título, es el colmo del descuido, después de todo el histórico revuelo mediático alrededor de las filtraciones de WikiLeaks, resulta que la NASA, ha revelado que, dentro de su programa de reciclaje de equipos informáticos, vendió diez ordenadores sin haber eliminado previamente los datos que éstos almacenaban, que por cierto, estaban catalogados como información sensible; y estuvo a punto de salir un ordenador más con información relacionada a los transbordadores espaciales, si no llegan a inspeccionar el contenido de éste. Este caso, que bien podría parecer sacado de una película de espionaje de serie B, es totalmente verídica y supone un espectacular fallo de seguridad.
Parece que la NASA estaba dejando que salga el material informático del centro espacial Kennedy como paso previo al cierre del programa del transbordador espacial, fechado en junio del año próximo. Sin embargo, no tuvieron la precaución de revisar el contenido de éstos, que andaba repleto de información relativa a los transbordadores espaciales y a las aplicaciones y controles internos de la red de la propia NASA, todo un premio para alguien que quiera realizar un ataque o para algún gobierno sin mucha simpatía por los Estados Unidos.
Según la propia NASA, el fallo de seguridad es por causa a una cadena de errores humanos y la descoordinación de un organismo con un tamaño tan grande. Existían centros que antes de vender un ordenador, retiraban los discos duros, que eran inutilizados por separado. Sin embargo, otros centros utilizaban un software para limpiar los discos, que ni siquiera contaba con la autorización de la NASA, pero lo más grave era que tras aplicar este software, algunos de estos centros no tenían ningún procedimiento que validase que los datos, efectivamente, habían sido borrados.
Este es un grave fallo de seguridad de la NASA, sin embargo, es algo que por desgracia ocurre en muchas empresas y organizaciones. Un buen control de la red, una revisión periódica de los permisos o un buen antivirus que poco nos sirven, si al retirar un PC del servicio no verificamos si existe o no información sensible almacenada en éstos.
De acuerdo a un estudio, las pérdidas de información pueden suponerle un terrible daño a las empresas cifrado entre cinco y quince mil millones de dólares. Y claro, un simple formateo del disco o un borrado desde el sistema operativo no es suficiente, sabemos que existen otras formas más seguras.
Este tipo de noticias no son nuevas, no hace mucho un grupo de alumnos del MIT (Instituto de Tecnología de Massachusetts), adquirieron 158 discos duros a través de eBay. La información, supuestamente, había sido eliminada, sin embargo, utilizando distintos programas de recuperación, reconstruyeron la información de 68 de estos discos, obteniendo información altamente sensible: números de tarjetas de crédito, contraseñas, correos electrónicos, información médica o archivos de índole personal.
Por tanto, la no eliminación de datos en los equipos que se retiran en las empresas es un alto riesgo para la seguridad de éstas, como hemos podido ver en el caso de la NASA. Todos los sistemas de gestión de la seguridad de la información deben procedimentar la retirada de equipos así como el envío de éstos a un servicio técnico pero dentro de la misma empresa, porque de lo contrario estaríamos corriendo el mismo riesgo. Pero como ya comentamos, no hace mucho, cifrar los datos puede ser una solución, sin embargo, tampoco es algo que esté, desgraciadamente, muy extendido en las empresas.
0 comentarios:
Publicar un comentario