La ausencia o violación de las políticas de seguridad pone en serio riesgo la información confidencial de las compañías. Lo indica un estudio realizado entre empleados de Boston, Washington y Buenos Aires de RSA, la División de Seguridad de EMC.
La encuesta fue realizada el mes pasado a empleados del sector privado y público en Boston, Washington D.C. y Buenos Aires, haciendo particular hincapie en sus actitudes y conductas de seguridad de acceso que llevan a cabo diariamente en sus trabajos.
Los resultados proporcionan un panorama de las acciones diarias de los empleados con acceso a datos confidenciales, como información de clientes, datos de tarjetas de crédito, datos financieros de la empresa e informes de propiedad intelectual.
Los resultados proporcionan un panorama de las acciones diarias de los empleados con acceso a datos confidenciales, como información de clientes, datos de tarjetas de crédito, datos financieros de la empresa e informes de propiedad intelectual.
Amenazas internas
Ante la posibilidad de que los usuarios pongan en riesgo información con elevado valor económico y operacional para la empresa, ya sea con fines de lucro o propósitos criminales, es necesario poner una especial atención en la seguridad de dicha información.
Es posible también que los usuarios con acceso a la información crítica, involuntariamente, puedan crear exposición pública de datos a través de su conducta o modalidad de trabajo diaria; ya sea por negligencia, dejando de lado las políticas de seguridad o siguiendo políticas de seguridad inadecuadas.
Según la encuesta, los usuarios calificados consideran que, en la actualidad, trabajan con inmanejables políticas de seguridad para cumplir con su trabajo.
Es posible también que los usuarios con acceso a la información crítica, involuntariamente, puedan crear exposición pública de datos a través de su conducta o modalidad de trabajo diaria; ya sea por negligencia, dejando de lado las políticas de seguridad o siguiendo políticas de seguridad inadecuadas.
Según la encuesta, los usuarios calificados consideran que, en la actualidad, trabajan con inmanejables políticas de seguridad para cumplir con su trabajo.
Por ejemplo: los usuarios que no tienen acceso remoto, envían documentos por e-mail a su dirección personal para continuar su trabajo en casa - acción que viola la mayoría de las políticas de seguridad de las organizaciones-. En este sentido observamos que:
- El 35% de los encuestados consideran esencial la existencia de procedimientos de seguridad como factor clave para la concreción de su trabajo.
- El 63% de los encuestados envía con frecuencia documentos de trabajo a su dirección de mail personal para poder acceder desde su casa.
En Buenos Aires existe una tendencia creciente de llevar trabajo a casa: 5 de cada 10 empleados envía con frecuencia documentos de trabajo a su dirección de mail personal para poder acceder desde su hogar.
- El 63% de los encuestados envía con frecuencia documentos de trabajo a su dirección de mail personal para poder acceder desde su casa.
En Buenos Aires existe una tendencia creciente de llevar trabajo a casa: 5 de cada 10 empleados envía con frecuencia documentos de trabajo a su dirección de mail personal para poder acceder desde su hogar.
En este sentido, las organizaciones deberían implementar adecuadas políticas de seguridad centradas en la información, entre ellas, la medición constante de la conducta del usuario. Esta auditoria continua permite informar sobre cambios en las políticas de seguridad, minimizar el riesgo e incrementar la productividad. Las políticas de seguridad se deben adaptar al negocio y no viceversa.
Acceso remoto a información sensible
Los resultados indican que los empleados requieren acceso remoto a la información de la empresa cuando se encuentran de viaje, mientras esperan en el aeropuerto o en cafeterías:
- El 87% de los encuestados, frecuentemente, accede a la información de manera remota mediante redes privadas virtuales o "virtual private network" (VPN) o Web mail.
- El 56% de los encuestados accede a su e-mail del trabajo mediante conexión inalámbrica pública (por ejemplo, conexión internet inalámbrica en cafeterías, aeropuertos, hoteles, etc.).
- El 52% de los encuestados accede a su e-mail de trabajo a través de computadoras públicas (por ejemplo, "cibercafés", locutorios, business centers de hoteles, etc.).
- El 87% de los encuestados, frecuentemente, accede a la información de manera remota mediante redes privadas virtuales o "virtual private network" (VPN) o Web mail.
- El 56% de los encuestados accede a su e-mail del trabajo mediante conexión inalámbrica pública (por ejemplo, conexión internet inalámbrica en cafeterías, aeropuertos, hoteles, etc.).
- El 52% de los encuestados accede a su e-mail de trabajo a través de computadoras públicas (por ejemplo, "cibercafés", locutorios, business centers de hoteles, etc.).
En Buenos Aires el 63% de los ejecutivos, en viajes de negocios, revisa su correo laboral utilizando sus propios dispositivos móviles mediante la red wireless de aeropuertos, cafeterías y hoteles.
En Buenos Aires, seis de cada diez ejecutivos están conectados con sus trabajos permanentemente por medio de dispositivos móviles: Blackberry o laptop. La enorme carga laboral sumada a la presencia global de muchas compañías, impulsa el fenómeno cada vez más frecuente de los ejecutivos hiperconectados. Esta situación que, en principio, representa una ventaja para las empresas, al mismo tiempo pone en riesgo la información crítica.
Mientras que la movilidad es esencial para la agilidad del negocio, la información desprotegida - ya sea que ésta se encuentre en movimiento o esté siendo utilizada - incrementa el riesgo.
Mientras que la movilidad es esencial para la agilidad del negocio, la información desprotegida - ya sea que ésta se encuentre en movimiento o esté siendo utilizada - incrementa el riesgo.
Las empresas pueden minimizar los riesgos, reduciendo el uso de la información sensible cuando sea posible y protegiendo dicha información dondequiera que resida: en terminales personales móviles, en sistemas de archivos y base de datos, o en transmisión a lo largo de redes corporativas y no corporativas. Las organizaciones también pueden establecer acciones de seguridad automáticas a fin de auditar, descartar, poner en cuarentena o encriptar la transmisión de la información - basándose en la sensibilidad de los datos -.
Cambio de roles
Los cambios dentro de la compañía son constantes, es común que los roles de consultores o personal temporario se modifique con asiduidad. La encuesta revela que las actualizaciones en seguridad se retrasan respecto a estos cambios dentro del negocio:
- El 33% de los encuestados ha permutado puestos de trabajo dentro de una misma organización y aún conservaban acceso a información o recursos que ya no requerían.
- El 72% de los encuestados reportó que su compañía/organización emplea a personal en forma temporaria, quienes requieren acceso a información y sistemas críticos.
- El 23% de los encuestados ha ingresado a un área de la red corporativa al que considera que no debería haber tenido acceso.
- El 33% de los encuestados ha permutado puestos de trabajo dentro de una misma organización y aún conservaban acceso a información o recursos que ya no requerían.
- El 72% de los encuestados reportó que su compañía/organización emplea a personal en forma temporaria, quienes requieren acceso a información y sistemas críticos.
- El 23% de los encuestados ha ingresado a un área de la red corporativa al que considera que no debería haber tenido acceso.
Infobae (28-12-2007)
