Como cualquier cadena, la seguridad se rompre siempre por el eslabón más débil, y éste es siempre el usuario final. Los factores son múltiples, entre los que podríamos destacar:

* Subestimar los problemas de seguridad
* Desconocimiento técnico
* Desinformación
* Desinterés
* Prisas

Uno de los procesos con más riesgo es cuando el usuario final demanda poder sacar parte de la información del perímetro de seguridad de la organización con un pendrive o cualquier otro medio removible.

Muchas veces el equipo de seguridad es capaz de negociar una mejor solución con el usuario o facilitarle un acceso mucho más seguro, como por ejemplo un acceso al perímetro de forma remota o mediante un dispositivo remoto controlado por la sociedad con gestión remota.

Cuando esto no es posible y el escenario o el usuario demanda poder utilizar un dispositivo removible, cualquier norma de seguridad, como la ISO 27001, exije la encriptación de los datos del medio cosa que haría el equipo técnico con agrado, a veces pero por simple rango laboral, por prisas o simplemente porqué el usuario ha obtenido la información directamente del cliente sin pasar por la auditoría interna, el usuario se lleva la información en un pendrive sin ninguna seguridad.

Durante años se ha estado jugando al gato y al ratón: Los equipos técnicos hemos desconectado los puertos USB, cosas que tenía sentido cuando los ratones/teclados se conectaban por el puerto ps2 pero ya no en la época en que todo es USB. Más tarde bloqueamos el acceso a sitios de intercambio de ficheros, pero la cosa se ha complicado y mucho con la llegada masiva del https y de los miles de sitios similares con posibilidad de hacer un upload, cosa que hace inviable el restringir todas las posibilidades.

Al final la solución ha sido asumir que tarde o temprano un grupo de usuarios sacará del perímetro de seguridad información confidencial, por lo que se les prové de pendrives USB con encriptación física. Estos dispositivos llevan un teclado físico, y por lo tanto no hackeables mediante un simple keylogger, que encripta automáticamente con AES de 256 bits la información contenida en él con password única para cada usuario con una longitud mínima de 15 dígitos, por si cae en manos ajenas. No hay que utilizar ningún software complejo, no hay que teclear la password delante de ojos ajenos, no hay que tener ningún conocimiento técnico ni instalar nada.

Paralelamente se les informa de los riesgos inherentes de la operación, que sólo se puede realizar en los casos estrictamente necesarios y que es una práctica a extinguir más pronto que tarde.

Con esta política hemos aumentado el grado de seguridad de la organización, estamos informados de todas las operaciones de entrada-salida y hemos eliminado completamente las salidas sin seguridad.

En grupo incofisa, la seguridad nos importa y mucho