|
El programa de seguridad es tan fuerte como su red más débil y es allí donde el factor humano juega un papel importante. Incluso si usted tiene una tecnología de seguridad de TI completa, todo lo que necesita es una persona descuidada, desinformada o descontenta con acceso al espacio físico de su oficina o a la red empresarial para exponer su compañía a riesgos innecesarios. Aunque gaste mucho tiempo y dinero en el fortalecimiento de las redes empresariales contra las amenazas externas, no subestime las amenazas internas. El hecho es que algunas de las amenazas más devastadoras para la seguridad informática provienen de individuos que eran considerados confiables empleados con acceso a la información confidencial.
Consecuencias costosas
Proteger la propiedad intelectual debe ser una prioridad de la seguridad para todas las empresas porque las alternativas pueden ser muy costosas - además de ser muy perjudiciales para su imagen corporativa. Según la Encuesta de seguridad y delitos informáticos del CSI/FBI de 2002, las mayores pérdidas financieras ocurrieron por el hurto de la información de propiedad exclusiva (41 encuestados reportaron un total de $170.827.000).
El infame empleado con acceso a la información confidencial
El caso del ex-agente del FBI, Robert Phillip Hanssen, que fue condenado por espiar para Rusia, es un ejemplo extremo pero importante de cómo los empleados con acceso a la información confidencial, pueden aprovechar su acceso y autorizaciones. Durante más de 15 años, Hanssen suministró a sus contactos rusos documentos altamente clasificados e información detallada sobre las fuentes de inteligencia estadounidenses y vigilancia electrónica tomadas directamente de su empleador, el FBI. Puesto que Hanssen era un usuario autorizado, sus actividades no generaban sospechas. Aunque Hanssen utilizaba una variedad de aparatos tecnológicos como medios magnéticos para robar información - disquetes cifrados, dispositivos de almacenamiento extraíbles e incluso su propio dispositivo de mano Palm - también en repetidas ocasiones salía de su oficina del FBI con documentos clasificados en su maletín, que a su vez, entregaba a sus contactos rusos. Desde el arresto de Hanssen hace dos años, el FBI ha creado una comisión para revisar todos los procesos y sistemas internos y estudiar el problema de abuso de los empleados con acceso a la información confidencial. Hanssen robó, de forma manual y electrónica, la información del FBI para su propio beneficio financiero y lo hizo durante más de 15 años sin problemas porque era un empleado de confianza con acceso a la información confidencial.
¿Quiénes son los empleados con acceso a la información confidencial?
Mientras que sus empleados de tiempo completo podrían ser los empleados con acceso a la información confidencial más obvios, conforman una parte de los individuos por los que deben preocuparse. Todos los que tengan acceso físico o electrónico a su empresa constituyen un riesgo potencial para su empresa. Además de sus empleados, piense en todas las personas que pueden atravesar el personal de seguridad (en caso de que lo tenga) e ingresar en su oficina - contratistas, empleados temporales, visitadores, practicantes y personal de servicio, soporte y mantenimiento. Una vez ingresan a su oficina, tienen acceso a estaciones de trabajo desprotegidas, archivos de documentos, contraseñas y a otra información sensible que podría quedar expuesta.
Los portadores de la clave
Algunos empleados con acceso a la información confidencial, que son una amenaza, no necesariamente tienen acceso físico a su oficina. Por lo general son los "portadores de la clave" - aquellos que tienen acceso a sus sistemas internos a través de acuerdos contractuales o de asociación con la empresa - los que pueden causar más daño. Para hacer negocios con ellos, deben tener acceso a su red y estar autorizados para estar allí. Es importante que el personal de TI esté enterado de quiénes son estos individuos, les den únicamente el acceso necesario para realizar su trabajo y vigilen de cerca sus actividades.
Cuatro razones principales para que los empleados con acceso a la información confidencial violen la seguridad
El valor del software y las políticas de seguridad que usted ha implementado disminuirá si los empleados con acceso a la información no entienden cuál es su función para mantener la empresa protegida. Teniendo esto en cuenta, a continuación se presentan las razones principales que estén detrás de las violaciones a la seguridad interna:
Ignorancia: Los empleados con acceso a la información confidencial no saben o entienden las políticas de seguridad adoptadas. No tienen conocimientos sobre las prácticas informáticas de seguridad general y el uso de los sistemas de información es también un problema común.
Descuido: Aunque los empleados de información confidencial conozcan las políticas y procedimientos de seguridad, con bastante frecuencia no se detienen a pensar cómo sus acciones violarían las normas. No pretenden violar, atacar o afectar adversamente el sistema empresarial - aunque estas pueden ser las consecuencias independientemente de su motivación.
Indiferencia hacia las políticas de seguridad: Algunas veces, los empleados con acceso a la información confidencial actúan a sabiendas de que van en contra de la política de seguridad. Con frecuencia lo hacen para facilitar sus labores cotidianas. Por ejemplo, cuando guardan su contraseña en una nota adherida a la pantalla de la computadora, directamente no están tratando de hacer daño, aunque también saben que están infringiendo la política, y que sus acciones podrían llegar a comprometer la información corporativa.
Maldad: Puede ocurrir cuando un empleado con acceso a la información confidencial descontento o no, deliberadamente trata de causar daño, destruir o comprometer la propiedad intelectual de la empresa para su propio beneficio financiero o simplemente por satisfacción personal.
¿Qué puede hacer usted?
A continuación se presenta una lista de medidas importantes que debe tomar para ayudar a preservar la seguridad empresarial en toda la empresa:
Inmediatamente después de que los trabajadores temporales o contratistas terminan de trabajar para usted, deshabilite sus cuentas de usuario en los sistemas informáticos. Por supuesto que esto también aplica a los empleados que renuncian a la compañía.
No permita que muchos empleados compartan una sola cuenta de ingreso.
Comuníquele a los empleados con acceso a la información confidencial, que tienen acceso a su red empresarial, que el uso que hagan de la red está sujeto a monitoreo - lo que debe hacer parte de su política de seguridad corporativa.
Mantenga las computadoras portátiles bloqueadas - lo que debe hacer parte de la política general de informática móvil.
Utilice protectores de pantalla protegidos con contraseña de forma que las computadoras siempre estén bloqueadas cuando no estén en uso.
De instrucciones a los empleados para que todos los días desconecten sus computadoras antes de salir del trabajo.
De acceso individual a la red para que cada persona tenga acceso únicamente a las computadoras y archivos que necesita para realizar su trabajo.
Enfatice la importancia de las contraseñas protegidas, las cuales no se deben dejar escritas en papeles adhesivos en la computadora, enviar por correo electrónico o compartir con otros empleados.
Lo peor que puede hacer es tener un falso sentido de seguridad sólo porque ha tomado las medidas para proteger sus sistemas de TI con tecnología. Lo más probable es que unos cuantos empleados con acceso a la información confidencial sepan cuáles son sus activos de información más valiosa, dónde están y cómo acceder a ellos. Hágase cargo de la situación controlando más el uso de la información y capacitando a los usuarios sobre cómo sus acciones pueden amenazar la seguridad de su empresa. Es importante lograr que sus empleados con acceso a la información confidencial respalden la seguridad; en la Parte 2, discutiremos cómo hacerlo. |
|
