Buenos Aires, 13 de marzo de 2008 – USUARIA, la Asociación Argentina de Usuarios de la Informática y las Comunicaciones, organizó por cuarto año consecutivo el Congreso Segurinfo, al que asistieron alrededor de 1500 personas. El lema de este año fue “Compartiendo las buenas prácticas”, un mensaje que alude a la necesidad de concientizar a los usuarios del valor que tiene el aspecto humano en el resguardo de la información, más allá de contar con buenos softwares.

En la apertura del evento estuvieron presentes Nora Alzúa, presidente del comité académico, Juan José Dell’Acqua, presidente del congreso, Alberto Chehebar, presidente de USUARIA y el Dr. Nicolás Trota, subsecretario de tecnologías de la Subsecretaría de Gestión de las Tecnologías, que depende de la Secretaría de Gestión Pública. El funcionario afirmó que la seguridad de la información en la administración pública es un tema central de la agenda de este gobierno y señaló la necesidad de avanzar en una normativa que tipifique las acciones de prevención en esa área.

Taller de Crisis

La novedad de este año fue el Taller de Crisis. Los miembros del comité académico de Segurinfo se dividieron en dos grupos interdisciplinarios de una hipotética empresa que debían enfrentar una situación de crisis de seguridad. El caso planteado fue el siguiente: una empresa imaginaria de venta minorista de productos electrónicos por Internet, llamada Frágil S.A., detectaba compras de un 15 % de productos con tarjetas mellizas, con datos robados a sus propios clientes. Un típico caso de fuga de información. Se formaron entonces dos comités de crisis, integrados en cada caso por un CEO, un director de Seguridad, uno de Informática, uno de Recursos Humanos, uno de Relaciones Institucionales y otro de Legales.

A cada grupo se le dio un perfil diferente. Uno, el más conservador, se denominó “Ladrillo” y se describió como un grupo habituado a las regulaciones. El otro, más flexible, con el nombre “Policarbonato”, se definió como más relacionado con la comercialización. En ambos casos, el CEO de la empresa se enteraba de la contingencia a través de su director de Seguridad. Algunos de los datos con los que contaba cada grupo eran, por ejemplo, que el firewall había estado desactivado por 15 minutos –durante los cuales algo había ocurrido- y que uno de los clientes damnificados era un conocido periodista. Asimismo, la primera recomendación era no modificar ningún procedimiento en las siguientes horas respecto a cómo se venía operando, de manera que se pudiese detectar eventualmente dónde o cómo se producía la fuga.

El grupo “Ladrillo” tomó las siguientes decisiones:
-esperar eventos externos evidenciados
-hacer investigación interna
-concentrar las comunicaciones en un vocero
-colaborar con la policía a través de legales (no directamente)
-activar el firewall inmediatamente (en contra de lo sugerido)
-analizar contratos con el banco

Por su parte, el grupo “Policarbonato”, que funcionó como una Pyme, donde el nº1 de la empresa toma las determinaciones, decidió:
-activar la red de contactos del CEO (concretamente, llamar a un amigo para que recomiende algo o a alguien)
-contratar un investigador externo
-mantener la operativa sin cambios por las siguientes 72 horas para intentar descubrir los causantes del suceso
-ejecutar acciones de desvinculación del personal interno en los casos en que existan dudas sobre su accionar
-analizar impacto económico por demandas (se asume que el banco no se hará cargo de todo)
-revisar procedimientos del call center
-preparar comunicación interna y externa

Con estas acciones emprendidas, “Policarbonato” decidió luego realizar una conferencia de prensa encabezada por CEO y director de RRII, asumiendo el primero las consecuencias de lo que ocurriera; normalizar las operaciones, dando de alta de nuevo el firewall; y tratar de ganarse la confianza del periodista afectado.

Conclusiones

Ambos grupos coincidieron en limitar la información, mantenerla como confidencial dentro del comité de crisis. Asimismo, la crisis no se comunicó inmediatamente: hasta que no hubiera evidencia concreta, no se decía nada.

Se aprendió de la crisis y se diseñaron acciones. Con ello se asume que no estaban preparados para enfrentar una crisis. El comité respondió correctamente, pero con problemas y reclamos por hechos pasados.

El ejercicio, entonces, dejó una serie de buenas prácticas para tener en consideración:
-debe existir un procedimiento de respuesta diseñado y probado;
-un formato preestablecido para el informe de daños;
-un procedimiento de comunicación interna y externa;
-todos deben conocer el plan de acción.