La decisión del titán tecnológico IBM de prohibir a todos sus empleados que utilicen cualquier tipo de dispositivo de almacenamiento extraíble dentro de sus instalaciones, incluidas unidades USB, tarjetas SD y unidades flash. Según múltiples reportes, la compañía informó a los empleados sobre el cambio de forma escrita, afirmando que la nueva política es para evitar fugas y violaciones de seguridad.
“El posible daño financiero y reputacional debido a dispositivos de almacenamiento portátil extraíbles extraviados o mal utilizados debe minimizarse”, según el informe de la jefa de seguridad de la información Shamla Naidoo.
Para disminuir los riesgos de filtraciones de información, #IBM prohíbe en sus centros de trabajo el uso de dispositivos portátiles de almacenamiento, como USB y tarjetas SD https://t.co/yWXz2tZqpU vía @helpnetsecurity pic.twitter.com/cOOna8FmGt
— UNAM-CERT (@unamcert) May 14, 2018
La decisión tomó por sorpresa a la industria tecnológica y levantó el cuestionamiento de qué tanto otras empresas deberían compartir la decisión de IBM y protegerse prohibiendo también a sus empleados el uso de este tipo de dispositivos.
Expertos han advertido sobre los riesgos que implican para cualquier empresa tomar una decisión tan dramática por las dificultades que implica para los procesos de los empleados y el cambio de hábitos de trabajo que conlleva
¿Los USB son un peligro real para empresas?
Según el experto en seguridad Kevin Beaumont consultado por la BBC, los USB y otros dispositivos de almacenamiento extraíbles sí representan un riesgo para todas las empresas que buscan proteger datos, “ya que suele ser muy fácil extraer datos de la empresa a través de ellos”.
Para muestra, todas las filtraciones recientes de información confidencial que provocaron escándalos en medios de comunicación, incluido el bombazo de Facebook y Cambridge Analytica o el histórico que hizo Edward Snowden en 2013, cuando volvió públicos miles de documentos clasificados por la Agencia de Seguridad Nacional estadounidense (NSA) sobre el programa de vigilancia PRISM y la violación de la privacidad y libertad en Internet de millones de ciudadanos estadounidenses.
Beamunt también explicó que otro de los peligros que implican es la inserción de algún software malicioso (malware) en los equipos o sistemas de la empresa. De hecho, la empresa de seguridad informática Panda Security, con base en España, explica en su sitio web que “cualquier dispositivo de almacenamiento USB que entre en una oficina puede poner en riesgo la seguridad de toda la organización”.
En contraparte, otro experto también citado por la BBC, Sumir Karayi -director de la empresa también de seguridad 1E- asegura que prohibiendo usar USB y otros dispositivos parecidos no se garantiza que la extracción de información no se realice.
“”Prohibir los USB no evitará que la gente robe datos”, aseguró Karayi. “En cuanto a las [posibles] pérdidas, una computadora portátil, un NAS (dispositivo de almacenamiento conectado en red) o un servidor FTP es igualmente fácil de extraviar”.
Como sea, se espera que la medida quede completamente implementada para finales de mayo y será interesante conocer cómo funciona el caso de IBM y si otras empresas deciden seguir sus pasos.