07 septiembre 2006

Hacking corporativo

Hoy leo vía (VNUnet) una noticia bastante interesante. Sencillamente, HP ha decidido utilizar técnicas de ingeniería social contra sus propios empleados. En concreto, en este caso la compañía ha suplantado la identidad de un empleado para investigar sus llamadas telefónicas, con el fin de investigar filtraciones a la prensa. Y lo que es más importante: según estas fuentes, es una práctica impuesta por la presidenta de la compañía.

No voy a entrar a valorar la legalidad del hecho, que ya está investigando la fiscalía californiana. Pero sí que creo necesario analizar dos aspectos.

El primero, el hecho de que la empresa atente contra la privacidad de sus empleados. Es lícito? Todos conocemos los típicos casos de monitorización del correo electrónico. Sin embargo, este hecho va más allá, por varios elementos:
  • En este caso no se trata de monitorización, ya que en caso contrario hubiera sido suficiente con analizar el registro de llamadas de la correspondiente factura telefónica.
  • Dado que se utilizan técnicas de hacking, parece poco probable que se haya utilizado la infraestructura de la empresa para llevar a cabo las filtraciones, ya que en ese caso la empresa estaría en posesión de las facturas, y procedería a revisar registros, sin necesidad de utilizar las técnicas señaladas.

Así que estamos ante una situación distinta. Sin embargo, alguien podría pensar que la actuación se puede enmarcar dentro de los términos de la auditoría. Podría ser así? Creo que no, por los siguientes motivos:

  • El sujeto en cuestión no fue avisado con anterioridad de que podía estar sujeto a este tipo de "auditoría"
  • La empresa reconoce haber utilizado un método "cuestionable", lo que supone poner en enteredicho la ética de la actuación. Y todos sabemos que sin ética deja de haber auditoría.
Por todo ello, creo que podemos afirmar que la medida está más allá de cualquier norma de seguridad aplicable en una empresa.

El segundo aspecto que quería destacar es la incoherencia subyacente en la actuación. Reducir la privacidad del personal para aumentar la de la compañía. Reducir seguridad para aumentarla. Esto choca de frente con la filosofía de la seguridad. Disminuir la seguridad de uno de los eslabones, del más importante (e intrínsecamente más débil), para aumentar la seguridad de la cadena?

La seguridad real debe ser preventiva, no reactiva. Y por tanto, la peor idea que se nos puede ocurrir, si queremos garantizar la seguridad real y a largo plazo de la empresa, es atacar a nuestros propios empleados. E imponer como norma estos ataques. Porque ante los métodos represivos, tarde o temprano, alguien reaccionará en contra. Por muy buena que sea la policía corporativa, el daño ya estará hecho. En este caso, creo que Patricia Dunn se ha equivocado.
Publicado por a las
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)