Cerrar

5 formas de arruinar la seguridad de los datos de nuestro proyecto

Situaciones que se dan en el día día donde empresas y emprendedores arruinan su proyecto por no cuidar la información

José Manuel Sanz

José Manuel Sanz

Publicado el domingo, 09 de octubre de 2016 a las 19:51

Mostrar ampliado

José Manuel Sanz

José Manuel Sanz

En el post esta semana voy a intentar ilustrar con 5 casos concretos y reales, como algunas empresas, por desconocimiento generalmente, incumplen la LOPD poniendo en riesgo muy serio la información que poseen y los datos personales de sus clientes, contactos y trabajadores.

Vamos a hablar de empresas pequeñas, sencillas, sin CEO’s, CIO’s o CTO’s. Sin nada terminado en “ing” en su estructura. Empresas como podemos encontrar en cualquier polígono industrial de nuestras ciudades.

Ejemplo 1: ¿Copias de seguridad? ¿Eso qué es?

Uno de los ejemplos más comunes. Una pequeña empresa de piedra artificial, mantenía datos de clientes y proveedores en una base de datos que gestionaban con una hoja de calculo (sic). Era un documento muy complejo, lleno de relaciones y realmente muy elaborado, pues permitía búsquedas muy precisas y el mantenimiento de una serie de registros relacionados con los usuarios allí registrados. Una pequeña maravilla de alguien que tenia mucho tiempo para dedicarse a ello. ¿La pega? Pues que estaba almacenado en el pc de uno de los usuarios, en una carpeta compartida con todos los usuarios. Nunca se plantearon hacer copias de seguridad, “porque siempre estaba allí el documento” (literal).

Un día, la instalación de una demo de un programa de corte de piedra, provocó un fallo en el registro de Windows y a partir de allí se precipitaron una serie de errores que dieron al traste con el equipo y tuvo que ser formateado de nuevo, sin que nadie se acordara del importante documento.

La reconstrucción parcial de los datos, duró muchos días a base de ir pidiendo los datos al gestor y creando una nueva base de datos, esta vez en una aplicación al uso.

Ejemplo 2: Dropbox como servidor corporativo

Que Dropbox es una herramienta muy útil para gestionar algunos documentos privados o como unidad USB en linea, es algo que a nadie se le ocurriría discutir. Pero que sirva para substituir a un servidor corporativo, es algo para lo que hay que ser muy atrevido.

Pero como de valientes está el mundo lleno, este consultor dio con uno. El gerente de una pequeña empresa de formación en Valencia, tuvo la genial ocurrencia de hacer que todos los trabajadores de la misma usaran Dropbox para almacenar allí la información y expedientes de los clientes que solicitaban cursos de formación.

En este espacio se almacenaban (y compartían, claro está), documentos con datos de los clientes, de los trabajadores de las empresas que querían acceder a formación, datos bancarios, etc. Y como no, una hoja de calculo con las gestiones diarias de cada uno de los comerciales.

Un día, uno de los comerciales fue un poco más curioso de la cuenta y navegó por el árbol de directorios compartidos, que no disponía de ningún tipo de seguridad, y accedió a información de comisiones y facturación de la empresa. Se armó un pequeño gran revuelo al conocer que estaban al alcance de todos, las comisiones y contactos de todos los comerciales.

El gerentes de la empresa decidió, con buen criterio por fin, importar esa información y montar un servidor corporativo con cara y ojos.

Ejemplo 3: El CRM

El CRM se ha convertido, en cualquiera de sus múltiples versiones, en una herramienta fundamental en las empresas. La relación con los clientes cada vez es más compleja y necesita de más elementos de valoración y selección a la hora de emprender campañas de marketing, de crear segmentos de clientes para enviarles información personalizada, etc.

La empresa de nuestro ejemplo, una importadora de material electrónico, disponía de un CRM bien dimensionado y adaptado a sus necesidades. Una copia de VtigerCRM, había sido instalado en un servidor web dedicado y un consultor había dedicado cierto número de horas a trabajar en la creación de perfiles y la seguridad y opacidad de las cuentas de usuario. Hasta aquí todo estupendo.

El problema vino cuando se descubrió que el servidor dedicado era en realidad un hosting gratuito ubicado físicamente en un país donde ni había ningún tipo de normativa en materia de privacidad ni se le esperaba.

La solución propuesta fue sencilla: trasladar la información a un proveedor español reconocido.

Ejemplo 4: Creando una base de datos desde Internet

Internet, como fuente de acceso a la información es imbatible. Eso mismo pensó el responsable de nuestra siguiente empresa ejemplo, desarrolladores de software, que encargó a una de las administrativas que recorriese la web buscando empresas de un sector determinado para crear una base de datos de potenciales clientes a los que presentar sus servicios.

A esto la administrativa se aplicó de forma diligente y en poco tiempo confeccionó un listado con más de 600 contactos de empresas que aparentemente podrían ser clientes suyos.

Una vez completada la base de datos, la empresa dedicó unos meses a enviar cada semana correos explicando las bondades de su producto a todos los miembros de la lista.

Al final y tras 5 correos pidiendo la baja de la lista, uno de los usuarios denunció a la empresa ante la Agencia de Protección de Datos. Era más que evidente que se habían obtenido los correos sin la pertinente autorización de los usuarios y además se estaban haciendo llegar comunicaciones comerciales sin permiso previo.

El disgusto fue de varios miles de euros.

Ejemplo 5: Comerciales indómitos

Como siempre, las personas suelen ser el punto débil de la cadena de salvaguarda de la información en cualquier estructura. En este caso, una distribuidora de surtidores de agua para empresas, contaba con una plantilla de comerciales al estilo clásico, que recorrían empresas de todo tipo ofreciendo sus servicios.

Estos comerciales, generaban con sus visitas una gran cantidad de contactos que pasaban a formar parte de la base de datos de la empresa.

La relación laboral con la empresa estaba basada, en parte de ellos, en un contrato laboral al uso, pero otros eran freelance que trabajaban a comisión. Mediaba un contrato mercantil que regulaba las comisiones, pero a nadie se le ocurrió incluir ningún tipo de clausulado al respecto de la privacidad y confidencialidad de los datos de los contactos que los comerciales hacían.

Un día, uno de estos comerciales, tentado por una mejora en sus comisiones por parte de una empresa de la competencia, no dudo en cambiar de marca y no tuvo mejor idea que aportar las información de los contactos que había realizado durante su relación con la primera empresa.

El argumento del comercial era que “los contactos los he hecho yo y son mios”, pero no tenia en cuenta que estos se habían hecho durante una relación contractual (tanto da el tipo que sea), con la primera empresa.

Hubo que pelear bastante, pero para el comercial, el cambio de trabajo supuso un coste que no había previsto.

Todos los ejemplos mostrados, son reales. Son empresas que son o han sido clientes y estas situaciones se han vivido de primera mano. Como podéis ver no son problemas de seguridad complejos ni ataques de Anonymous. Son simplemente el día a día.

¿Quién no se ha encontrado en algún caso parecido alguna vez?

5
visitas hoy 1 · visitas total 2.647

Usuario: jomasanz

Empresa: José Manuel Sanz

Canal: CEEI Valencia

Fecha publicación: 09/10/2016 19:51

Url: http://ceeivalencia.emprenemjunts.es/?op=8&n=12912

Comentarios

Usuario sin logear

Envía tu comentario

Debes iniciar sesión - Hoy 03:05

Título:

Comentario:

 

Esta web utiliza cookies propias y de terceros para ofrecerte una mejor experiencia y servicio.
Al continuar con la navegación consideramos que aceptas su uso y nuestra política de cookies.

Aceptar