Pérdida de información: el papel de los empleados

Descarga el PDF

Pérdida de información: el papel de los empleados

Es una de las muchas realidades desagradables en la batalla constante para proteger a una empresa: cuanto más se invierte en los perímetros físicos y tecnológicos, más vulnerable se convierte el perímetro humano, sobre todo en el tema de la pérdida de información.

Es decir, cuanto más eficaz sea una empresa en mantener a los intrusos fuera de sus redes, más probable es que los extraños malintencionados dirijan sus baterías hacia los empleados de la compañía. O que los propios empleados actúen con malas intenciones. Como sea, hay estudios que estiman que alrededor del 50 por ciento del robo de información se puede imputar a “personajes internos”.

A pesar de la compañía Gartner afirma que las grandes empresas van a invertir en seguridad hasta un cuatro por ciento de sus ingresos anuales para el finales de década, los empleados sin formación seguirán siendo los que jueguen un papel predominante para los ciberdelincuentes.

Este es el nuevo frente de batalla. Si la inversión en tecnología y seguridad no va de la mano con un compromiso en la formación de los trabajadores en temas de cuidar la información de la compañía al usar herramientas como dispositivos móviles, podría venir un fuerte daño a la reputación por un hackeo o la instalación de un malware.

El famoso pirata informático Kevin Mitnick observó recientemente: “Todos podemos tener la mejor tecnología, cortafuegos, sistemas de detección de intrusos, dispositivos biométricos, etcétera. Pero basta una llamada a un empleado desprevenido, y ¡pum!, ingeniería social y todo se acabó.”

Volver a los empleados en centinelas de la seguridad requiere un nuevo enfoque en la formación, que no se basa en listas interminables de normas de seguridad, advertencias de las afectaciones a la infraestructura de las TI por un hackeo. Los trabajadores deben saber cómo su comportamiento puede contribuir a la vulnerabilidad de la empresa, y que la seguridad debe convertirse en una segunda naturaleza, tal como la primera debe ser la amabilidad con los clientes.

PÉRDIDA DE INFORMACIÓN: REFORZAR EL PERÍMETRO

Los empleados pueden ser perdonados por el supuesto de que no tienen ningún papel importante que desempeñar en la seguridad. Pocos de ellos reciben una formación regular de protección y prevención, y la mayoría ninguna.

En muchas organizaciones, la seguridad sigue siendo la responsabilidad del departamento de TI, uno que la mayoría de los empleados simplemente consideran como las personas responsables de la que la impresora funcione de nuevo.

La atención de los medios sobre el avance de las tecnologías de seguridad, especialmente antivirus y cortafuegos, también puede haber calmado a los empleados en la creencia de que si la tecnología para la protección está en su lugar, su comportamiento no puede suponer un riesgo.

Hasta los seres humanos comienzan a actuar como máquinas, y no ser influenciado por la percepción, la subjetividad y el deseo de ser útil, pueden terminar exponiendo a la empresa a ser muy vulnerable.

Aunque estén bien entrenados y constantemente vigilados, eso no garantiza que este perímetro sostendrá todos los ataques todo el tiempo, pero sin duda aumentará la defensa de la organización.

En sus esfuerzos para maximizar el poder del perímetro humano, la organización debe incorporar los siguientes principios en sus esfuerzos de capacitación de seguridad:

  • “Rehumanizar” la amenaza. Tanto los medios de comunicación y la industria de la seguridad han tenido mucho éxito en la demonización de los piratas informáticos. El tradicional los “hackers son malos” o “archivos adjuntos pueden contener virus” sólo porque lo digamos nosotros, no es una forma efectiva de enseñar. Los empleados necesitan saber quiénes son estos hackers y creadores de virus, cuáles son sus motivos y por qué es tan importante mantenerlos fuera del perímetro.
  • Dar de alta a todos los empleados como cómplices en una conspiración para derrotar a los piratas informáticos. El éxito de “vigilancia del vecindario” en todo el mundo demuestra el éxito de reclutar a los ciudadanos en una lucha común y digno contra el crimen. Todos los empleados deben considerarse a sí mismos centinelas que participan en un esfuerzo conjunto para proteger a su lugar de trabajo del asalto.
  • Piense de Seguridad, así, con mayúscula. Ya se trate de consultar el correo electrónico, respondiendo a un teléfono, o cerrar la sesión del día, los trabajadores deben ser alentados a pensar en la seguridad en todas las medidas que adopten y cada decisión que tomen. Sólo cuando la seguridad se convierte en una segunda naturaleza, se tendrá un mejor equipo de protección.
  • No deje todo al departamento de TI. Incluso en una economía a la baja, la mayoría de los departamentos de TI están sobrecargados de trabajo y de personal. Que los empleados se sumen a la vigilancia y protección, será un gran acierto.

Enseñar habilidades de seguridad empleados ofrece un valor añadido más allá del lugar de trabajo, pues pueden llevar a sus familias la protección contra los delitos informáticos, la protección de sus hijos en línea, y la de sus identidades. Sume, no reste en seguridad.