Bloomberg Gate: un nuevo caso de inseguridad informática

Después de tantos y tantos casos de violaciones de seguridad informática y falta de protección de datos en las organizaciones estos días nos encontramos nuevamente con uno de rabiosa actualidad: el famoso caso del “Bloomberg Gate”.

Por si alguien aún no ha oído hablar de él, se trata de un caso de intromisión de la filial de Medios de Comunicación Bloomberg News en los terminales de operaciones de su empresa matriz, Bloomberg, a través de los cuales sus periodistas accedían a las bases de datos de los clientes de la Compañía (y no digo “presuntamente” porque el portavoz de Bloomberg, Matthew Winkler, así lo ha confirmado).

Bloomberg cuenta con más de 315.000 terminales, que permiten a sus clientes realizar análisis y operaciones financieras y recibir un flujo constante de información, un servicio ampliamente utilizado por empresas, bancos e instituciones en todo el mundo. Ejemplos de algunos de los clientes más importantes que se han visto afectados por estas intrusiones son: JP Morgan, Goldman Sachs, la Reserva Federal, el Departamento del Tesoro o el Banco Central Europeo entre otros.

Con este acceso, los periodistas podrían haber tenido acceso a información a partir de la cual habrían publicado numerosas noticias de índole financiero, tales como el famoso caso del trader Bruno Iksil, más conocido como la “ballena londinense”, que hizo perder a JP Morgan en 2011 la friolera de 6.200 millones de dólares.

Desde mi punto de vista, la raíz o el origen de este gran problema con el que actualmente se enfrenta Bloomberg ha sido proporcionar a la filial, y por ende a sus empleados periodistas, acceso a los datos de gestión de relaciones con clientes. Para la Compañía, este percance seguro va a suponer un daño reputacional muy importante y posiblemente alguna que otra demanda procedente de empresas multinacionales.

A la vista de este caso observamos la trascendental importancia que tiene implementar correctamente en las organizaciones los sistemas de CRM, instrumentando el acceso a la información de clientes que cada miembro de la organización debe tener en función de su cargo, y siempre a través de Manuales de Políticas, Procedimientos, Instrucciones  y Boletines de Seguridad de la Información supervisados por Comités creados ad hoc, al objeto de establecer toda una serie de medidas, tanto preventivas como reactivas, para resguardar y proteger la información, buscando mantener en todo momento:

• La disponibilidad del sistema: el elemento clave (y que creo que es lo que ha fallado en la multinacional) es que la información ha de encontrarse a disposición de quienes deben acceder a ella para cumplir sus tareas, ya sean personas, procesos o aplicaciones.
• Confidencialidad de la información: que la información sea accesible sólo a los autorizados a acceder a dicha información.
• Integridad de las aplicaciones y la información: que éstas se hallen libres de modificaciones no autorizadas.

Es evidente que la seguridad total no existe y no va a existir nunca, pero si las organizaciones y las personas que las integramos nos preocupamos por mejorar continuamente, conociendo y respetando las Políticas de Seguridad vigentes en cada momento, juntos podremos reducir los riesgos hasta un nivel considerado “aceptable”.

  
 

Fuentes consultadas:

• Diario El Economista: http://www.eleconomista.es/interstitial/volver/acierto-abril/mercados-cotizaciones/noticias/4822162/05/13/Bloomberg-investigada-por-espionaje-por-las-autoridades-de-EEUU.html
• INTECO (Instituto Nacional de Tecnologías de la Comunicación): http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/
• Apuntes de Seguridad Informática, Profesor Antonio Miranda.