Los empleados considerados “el activo más importante” para las empresas son también la principal amenaza para el resguardo de sus datos, según diversos estudios de Trend Micro, TerreMark, Imperva, McAfee y Symantec, entre otros.
Las investigaciones han determinado que entre un 50% y 60% por ciento de los ataques sufridos por una organización, donde hubo incluso fuga de información confidencial, fueron causados por un mal proceder de los usuarios que tienen privilegios para el acceso de la información.
En algunos de estos ataques los empleados crearon una brecha de seguridad de forma accidental y en otros lo hicieron con el propósito de dañar la empresa.
Adriana García, directora regional de ventas para México y Centroamérica de Imperva, detalla que es importante que las empresas identifiquen qué es lo más sensible de la información, y con base a esos datos auditen y protejan.
“Las empresas pocas veces consideran situaciones que los hacker o los empleados pueden realizar, porque solo se interesan en proteger el área perimetral pero no consideran mantener una protección activa constante”, asevera García.
García menciona que en las empresas es común la fuga de información ya sea de forma maliciosa o no maliciosa, en la primera el empleado vende la información y en la segunda es cuando los colaboradores se van de la organización y se llevan datos importantes.
Carlos Rivera, director de ingeniería de seguridad de Terremark, afirma que muchas veces el empleado que no está contento con la empresa sustrae información confidencial y la vende. Ya sea porque considera que no tiene un salario que se merece o porque le despidieron.
Una brecha de seguridad
Los estudios también han revelado que el 50% de los empleados tienen más información de la empresa de la que necesita en su laptop y sus dispositivos móviles.
Los expertos mencionan que es común que los empleados pierdan ordenadores portátiles, celulares, USB y tabletas. Incluso se da el caso que los roban estos dispositivos de manera que también se roban información de la compañía.
Situaciones por lo cual lo ideal, según García y Rivera, es que las organizaciones deben de implementar políticas de encriptación interna para sus datos y para los dispositivos móviles de forma que si son robados la compañía pueda bloquear el acceso a esa información.
Los expertos de Terremark e Imperva aconsejan que las entidades privadas y gubernamentales hagan auditorías en las empresas, tengan políticas de privacidad, resguardo de datos y de uso de tecnologías en el ambiente corporativo.
Otro dolor de cabeza para los encargados de seguridad de la información, es el peligro que representa el uso de las redes sociales y herramientas Web 2.0 al interior de las compañías, porque han venido a propiciar que el empleado también se convierta en una amenaza para la seguridad de los datos de las empresas.
Para Rivera la mayoría de ellos tiene cero cultura de seguridad de la información, lo cual propicia que los hacker aprovechen para crear ataques por medio de la llamada ingeniería social.
Rivera es de la idea que las empresas restrinjan o prohíban el uso de las redes sociales y herramientas Web 2.0 en las jornadas de trabajo, porque son un riesgo para la seguridad e incluso afecta la productividad de la empresa.
“En promedio una persona dedica de tres a cinco horas las redes sociales por día cuando tienen acceso desde su empresa, y cuando han bloqueado su uso se ha visto que la productividad se ha incrementado hasta en un 50 por ciento”, afirma Rivera.
El director de ingeniería seguridad de Terremark añade que se ha utilizado Facebook como un medio para obtener información y hacer que ingresen malware al interior de las empresas.
El Informe Global sobre Fraude de Kroll 2011 reveló que la mitad de las compañías tienen vulnerabilidades para propiciar el robo de datos corporativos.El estudio detalla que son los ejecutivos de alto nivel los autores del 29% de los robos y 8% de los ejecutivos menores.