domingo, 14 de diciembre de 2014

El ataque informático a Sony o una lección sobre como debemos administrar nuestros datos

A fines del mes pasado, se conoció la noticia acerca del ciberataque a las redes corporativas de la empresa de entretenimiento Sony Pictures Entertainment. Inicialmente se especuló con que Corea del Norte podria estar tras dicha acción, debido a la la película de Sony "The Interview", una comedia sobre un complot para asesinar al líder norcoreano, Kim Jong Un, y programada para ser lanzada el 25 de diciembre. Luego la investigación se dirigio al grupo auto denominado "Guardianes de la Paz" o GOP por sus siglas en inglés, ya que los mismos fueron los encargados de solicitar el retiro de la pelicula mencionada, cuestión sobre la que el país asiático declaró no tener relación alguna con tal grupo.

Si bien en un principio el daño fue medido entre unos 10 a 100 millones de dólares, el mismo puede considerarse incalculable debido a la profundidad de la penetración en los sistemas de Sony. Desde la pérdida de su empleo por parte de la vicepresidenta ejecutiva Amy Pascal, hasta la filtración de miles de datos personales y sensibles de 47000 empleados de la compañía, así como de varias estrellas del espectáculo como Angelina Jolie, James Franco, Sylvester Stallone y hasta Beatriz, la nieta de la reina de Inglaterra pasando por peliculas sin estrenar como  como "Still Alice", "Annie", "Mr. Turner" y "To Write Love on Her Arms" las cuales se encuentran en sitios no autorizados de Internet para descargas o streaming.

Pero aquí queremos hacer hincapié en un aspecto particular del hackeo. Es el que tiene que ver con el contenido de los correos electrónicos corporativos filtrados. Comentarios de tono racista hacia el presidente de EEUU Barack Obama como si deberian pedirle fondos para filmar peliculas del estilo de "El mayordomo", "12 años" o "Django unchained", todas ellas relacionadas con la esclavitud y el racismo hacia la población negra. También se pudieron leer descalificaciones a actores, tal el caso de Angelina Jolie, a la que el productor Scott Rudin calificó de "niña maleducada con talento mínimo" e infantil, irresponsable y caprichosa.

Queda en evidencia por lo visto que Sony no tenia una verdadera política de administración de datos (o su universo poblacional no la respetaba). Dentro del ciclo de vida de la información - generación, uso, almacenamiento, archivo y borrado / eliminación - la primer politica a establecer tiene que ser la del del correcto uso de los elementos informáticos de la empresa, sean estos software, hardware o servicios. La misma debe incluir un apartado sobre los contenidos de la información, es decir, el lenguaje empleado tiene que estar en un todo de acuerdo con la actitud del "buen hombre de negocios". Se debe evitar el uso de lenguaje "gracioso", de contenido sexual, discriminatorio o que incite a la violencia. Tales directivas (y el eventual control que se pueda hacer de todo documento generado dentro de la organización) deben estar orientadas a evitar las responsabilidades legales que se pudieran generar, asi como el daño indirecto por la pérdida de prestigio y reputación de la empresa. Junto con las necesarias politicas de seguridad de la información (como dato curioso, los administradores de la seguridad de Sony guardaban sus contraseñas en directorios con el nombre Passwords) las políticas de uso y generación de la información bien implementadas ayudarán, no quizás a evitar totalmente ataques de este tipo, pero si a minimizar su ocurrencia o a mitigar los posibles daños recibidos.

Fuentes:

http://gizmodo.com/sony-kept-thousands-of-passwords-in-a-document-marked-1666772286?utm_campaign=socialflow_gizmodo_facebook&utm_source=gizmodo_facebook&utm_medium=socialflow

http://gizmodo.com/sony-pictures-top-lawyer-s-emails-exposed-in-latest-lea-1669594084

http://cultura.elpais.com/cultura/2014/12/13/actualidad/1418471192_060470.html

http://elpais.com/elpais/2014/12/05/estilo/1417801727_106345.html

http://eleconomista.com.mx/tecnociencia/2014/12/11/sony-pide-disculpas-obama-mensajes-filtrados

http://eleconomista.com.mx/tecnociencia/2014/12/01/fbi-investiga-ciberataque-sony-pictures?cx_Unoticias=Nota05