La encriptación o cifrado de la información es uno de los puntos obligatorios en cualquier sistema a día de hoy y esta crece a medida que sube la responsabilidad y el volumen de información privada que ha de manejar una empresa. Es por ello que no hacerlo es un delito grave en todo el mundo y puede llevar penas severas. Si no preguntádselo a Morgan Stanley que se ha llevado una buena multa por no proteger sus discos duros.
Uno de los mercados más ignorados, pero al mismo tiempo más lucrativos e importantes, es el del tratamiento de los datos y es que a día de hoy miles de empresas manejan datos de sus clientes que han de proteger. Por lo que no solo se hace necesario tener los servidores bien protegidos a los intrusos, sino también tener la información bien cifrada para que solo nosotros la podamos leer y en última instancia saber descartar las unidades de almacenamiento en desuso.
¿Por qué ha recibido una multa Morgan Stanley?
El famoso banco de inversiones estadounidense ha recibido una multa de 35 millones de dólares por parte de la Securities and Exchange Commision por realizar haber desechado de forma pésima todas las unidades de almacenamiento usadas en sus servidores. La causa de ello ha sido que contrataron a una empresa sin conocimiento en la materia para quitarse de encima los discos duros que contenían información privada y sensible de sus miles de clientes. En total son 42 la cantidad de sistemas afectados.
El banco ha decidido no dar ninguna respuesta ante las acusaciones de la SEC, por lo que no se ha declarado culpable y tampoco ha negado las acusaciones. Simplemente, se ha limitado a pagar la multa. Aunque por ese precio, Morgan Stanley podría haberlo invertido para una mayor seguridad y toda esta experiencia demuestra la importancia de que tiene el hardware para la protección de datos, al cual solemos despreciar o no darle importancia.
Sin encriptación de datos
Aunque el problema ha sido más grave por el hecho de que Morgan Stanley no ha utilizado en ningún momento ninguna de las técnicas de encriptación de datos en los discos duros de sus servidores. Por lo cualquiera que acceda a esos discos duros puede conseguir fácilmente la información y al mismo tiempo dichos datos son vulnerables a una intrusión por parte de terceros a los servidores.
Lo normal es usar hardware especializado para cifrar los datos en formatos como AES-256, este se basa en un chip especializado que ejecuta una fórmula matemática que convierte el código binario en los discos duros en otro, de tal manera que los datos no se pueden leer. Al mismo tiempo, el sistema se acompaña de otro chip que realiza dicha función a la inversa para poder recuperar los datos. Lo cual permite la recuperación integra de la información de manera local.
En todo caso, con los ataques a NVIDIA hace unos meses y de UBER recientemente, se está quedando patente que las empresas suelen ignorar estos métodos de protección o más bien no lo hacen y se hace necesario mejorar la seguridad en estos casos.