Descarga el PDF
Cuando se trata de la seguridad cibernética y robo de información sensible, las empresas tienen muchos frentes abiertos: piratas informáticos, organizaciones criminales, instancias de gobierno… e incluso sus propios trabajadores.
Una reporte de la compañía GO-Gulf.com, que combina los resultados de varios estudios, muestra que 39 por ciento de los robos de datos en las compañías proviene del interior. Aún más problemático, 59 por ciento de los ex empleados admiten que robaron datos de sus ex contratistas.
La prevención de este tipo de conducta en puestos de trabajo es difícil, sobre todo porque muchos trabajadores tienen la opción de llevar sus dispositivos personales y conectarse a través de ellos a la nube empresarial, así como dispositivos de almacenamiento portátiles y de colaboración que pueden ser afectados o infectados por ciberdelincuentes del exterior.
Todo lo que necesita una compañía es un empleado negligente o malicioso para comprometer su seguridad a niveles que pueden ser peligrosos para la estabilidad del negocio. Para ello, se recomienda sumar a los empleados a capacitación de ciberseguridad al interior de la compañía, para volverlo un aliado y no un riesgo más.
Sólo como dato, según el Reporte de Ciberseguridad 2015 de Symantec, las campañas de phishing (robo de datos a través de ingeniería social) dirigidos a empleados aumentó 55 por ciento. Durante el año pasado, las grandes compañías reportaron que fueron atacadas por lo menos tres veces más. Todos los negocios de todos los tamaños son potencialmente vulnerables a los ataques dirigidos. Ninguna empresa está exenta de riesgos.
ROBO DE INFORMACIÓN “INTERNO”: ¿SE PUEDE PREVENIR?
Es importante considerar y crear nuevas estrategias sobre quienes tienen la autorización de entrar a la nube de la firma, o a partes sensibles de los servidores tanto locales como externos, si es que se tiene contratado un administrador de TI.
Es importante estar que las políticas de seguridad evolucionen a medida que se producen nuevos ataques, y siempre tener informado a los trabajadores sobre las tendencias de virus y malware, así como la protección efectiva ante estos códigos maliciosos.
Hay que señalarle y dejarle en claro a los empleados que en la mayoría de los casos,el objetivo a proteger son los datos de los clientes, no de la propia empresa, sobre todo si se trabaja para el sector financiero.
Una recomendación es que los permisos de acceso a los datos o servidores tanto físicos como virtuales nunca se almacenen localmente por un usuario (un empleado), ya sea en computadoras o dispositivos móviles personales. Los permisos se asignan de acuerdo al nivel de los trabajadores.
Continuamente hay que hacer hincapié en la naturaleza crítica de la seguridad de los datos y la responsabilidad de cada empleado en protegerlos. Inclusive hay obligaciones legales y reglamentarias para respetar y salvaguardar la privacidad de la información, la integridad y confidencialidad de la información.
Hay que capacitar a los trabajadores sobre cómo seleccionar contraseñas seguras, para que no puedan ser fácilmente adivinadas por los delincuentes, pero que también sean fáciles de recordar para que no tengan que llevarlas por escrito. Los departamentos de Sistemas de la empresa deben establecerse fechas para enviar recordatorios automáticos a los empleados a cambiar sus passwords.
Algo importante es que directivos de TI de las compañías hagan conscientes a los empleados de que no se les permite instalar software sin licencia en cualquier equipo local. Esta práctica podría hacer que el negocio sea susceptibles a descargas de software maliciosos que pueden atacar, robar y destruir los datos.
Nuevamente hay que reiterar en la capacitación de los empleados para evitar que abran enlaces enviados por correo electrónico o en línea que son sospechosos o de fuentes desconocidas.
Tales enlaces pueden liberar software malicioso, infectar computadoras o dispositivos móviles y robar datos sensibles. Hay que establecer reglas de navegación segura y límites en el uso de internet en el lugar de trabajo.
Todos somos responsables de cuidar la ciberseguridad de la compañía, y eso es algo que como director de TI debe quedar claro.