Los empleados ponen en peligro la información sensible de la empresa

La amenaza viene de dentro

RSA, división de seguridad de EMC, ha revelado las conclusiones de su reciente investigación sobre amenazas internas, es decir, que provienen de los propios empleados de las compañías. Realizado por RSA a principios de noviembre, la encuesta sondeó a los directivos y trabajadores de empresas privadas de Boston y Washington D.C. sobre actitudes y comportamientos relacionados con la seguridad en sus puestos de trabajo. Los resultados ofrecen una visión global sobre las acciones diarias de trabajadores que tienen acceso a datos sensibles, tales como información de los clientes, números de la Seguridad Social, datos sobre tarjetas de crédito o propiedad intelectual y financiera de las empresas.

Los resultados de la investigación subrayan que el riesgo que se plantea para los datos por parte del personal interno bienintencionado trabajadores, proveedores, partners, visitantes y consultores con acceso físico o lógico a los activos de la organización- debe ser gestionado de una forma tan cercana como aquellos riesgos planteados por el personal con intenciones maliciosas, que deliberadamente filtran datos críticos para obtener beneficios financieros u otros propósitos delictivos.

Estos empleados “inocentes” pueden exponer, en su labor diaria y sin querer, datos de extraordinario alcance y coste para la compañía, bien por negligencia, bien porque trabajan saltándose las medidas de seguridad o bien porque siguen políticas de seguridad inadecuadas.

Políticas de seguridad

Los resultados de la investigación indican que los empleados pueden trabajar alrededor de políticas inmanejables de seguridad para realizar su trabajo. Por ejemplo, empleados que no tienen acceso remoto pueden enviar un correo electrónico a su dirección personal de correo para trabajar sobre él más tarde en casa una acción que viola la mayoría de las políticas de seguridad establecidas por las organizaciones. Así, el estudio concluye que el 35 por ciento de los encuestados ha sentido la necesidad de “obviar” las políticas y los procedimientos de seguridad establecidos en su empresa para poder realizar su trabajo. Por otra parte, el 63 por ciento de los trabajadores que han participado en el estudio, con frecuencia o al menos alguna vez, ha enviado documentos de trabajo a su correo electrónico personal para poder acceder desde su casa.

Cuando los empleados de confianza “esquivan” las políticas de seguridad, normalmente no buscan un daño intencionado. A pesar de este buen propósito, la información sensible puede quedar expuesta, sometiendo a la compañía y posiblemente a los clientes- a un riesgo innecesario. Las organizaciones pueden reducir este riesgo mediante el desarrollo de políticas centradas en la información que estén en línea con las necesidades del negocio.

Una vez adoptadas, las compañías deberían medir constantemente el comportamiento del usuario frente a dichas políticas establecidas y usar esta medición para informar de cambios en las mismas, para minimizar el riesgo y maximizar la productividad de los negocios.

El peligro del acceso remoto

Como es lógico, los resultados del informe indican que los empleados confían en el acceso remoto para acceder a la información corporativa mientras están fuera de la oficina, esperando en aeropuertos o trabajando desde una cafetería.

El 87 por ciento de los encuestados frecuentemente o a menudo gestionan el negocio de manera remota a través de redes virtuales privadas (VPN) o correo web.

El 56 por ciento frecuentemente acceden a su correo electrónico del trabajo desde conexiones inalámbricas públicas (como conexiones inalámbricas a Internet desde cafeterías, aeropuertos, hoteles, etc…)

El 52 por ciento acceden a su correo del trabajo desde ordenadores públicos (como los utilizados en cibercafés, aeropuertos, hoteles…)

El acceso remoto a datos sensibles requiere una autenticación más fuerte que un nombre de usuario y una contraseña que pueden ser fácil y rápidamente descubiertos-. Las compañías pueden mantener la flexibilidad de los accesos remotos al tiempo que protegen datos sensibles con autenticación de doble factor a VPNs y a correo web.

Además, las compañías también pueden reducir el riesgo de la pérdida de datos en entornos móviles mediante la creación, monitorización y refuerzo de políticas centradas en la información.

Pero la información debe ser libre

Es ilustrativo que, según los datos de la encuesta, para que los empleados sean más productivos y para que la información sea más valiosa para la empresa, esta tiene que tener libertad para circular.

El 65 por ciento de los encuestados aseguran que cuando salen de su oficina se llevan consigo dispositivos móviles, como portátiles, smartphones y/o llaves USB con información sensible relacionada con su trabajo (por ejemplo, datos de clientes, información personal de identificación como números de la Seguridad Social, datos financieros de las compañías, datos de tarjetas de crédito y información competitiva sensible como planes de producto).

Asimismo, el 8 por ciento asegura haber perdido un portátil, PDA o una memoria USB con información corporativa en ellos.

Mientras que la movilidad es esencial para la agilidad del negocio, no proteger la información ya sea en reposo, en movimiento o en uso- incrementa el riesgo.

Las empresas también deben considerar el establecer un control automático y acciones de cumplimiento para permitir, auditar, desechar, poner en cuarentena o cifrar la transmisión- basándose el la sensibilidad de los datos.

Confianza en los compañeros

La seguridad física es absolutamente vital para la seguridad en general y, aún así, la encuesta ha desvelado que algunas veces las personas mantienen la puerta completamente abierta (incluso en redes inalámbricas). De este modo el estudio revela que:

El 34 por ciento de los encuestados ha tenido abierta una puerta segura para alguien del trabajo que no reconoció.

Al 40 por ciento, les han dejado estar en el edificio por alguien que no les conocía después de habérseles olvidado su tarjeta o llave de acceso.

El 66 por ciento de las multinacionales encuestadas dijeron que sus compañías disponen de redes inalámbricas para uso interno en salas de conferencias y oficinas para invitados. De estas, el 19 por ciento tenían el acceso a la red completamente abierto, es decir, que no requerían de credenciales para conectarse.

Las políticas de acceso físico no siempre son adecuadas para garantizar que sólo los trabajadores autorizados están en el edificio. E incluso cuando los controles de acceso físico funcionan correctamente, no todas las personas con acceso legítimo al edificio deberían necesariamente tener acceso a la información corporativa.

Para reducir el riesgo, los controles de seguridad física deberían ser complementados con controles de acceso lógico. Las compañías pueden ayudar a proteger los datos sensibles mediante la implementación autenticación de doble factor para redes inalámbricas internas, puestos de trabajo, dominios, puertos y aplicaciones y hacer cumplir de manera apropiada los controles de acceso.

Cambio de funciones

Cambiar es una constante en las empresas. Cada día, las funciones cambian dentro de la compañía. Los resultados del estudio nos dicen que las actualizaciones de seguridad, algunas veces, se quedan atrás:

El 33 por ciento de los encuestados ha cambiado de puesto de trabajo en la empresa y todavía tienen acceso a los recursos que no van a necesitar más.

El 72 por ciento respondió que su compañía emplea a trabajadores temporales y proveedores que necesitan acceder a información y sistemas críticos para la empresa.

El 23 por ciento ha entrado por casualidad en un área de la red corporativa a la que creen que no deberían haber tenido acceso.

El acceso a información altamente confidencial o identificable personalmente debería concederse en base a la necesidad. Así, las compañías pueden reducir los riesgos de exposición implementando accesos basados en roles a información crítica. Las compañías deberían asegurarse de que los cambios de rol, incluidos consultores y contratistas, son reflejados inmediatamente en los privilegios de acceso. Finalmente, las organizaciones pueden reducir el riesgo de la información, centralizando la gestión de credenciales, incluyendo nombres de usuario y contraseñas, contraseñas de un solo uso y certificados digitales y desarrollo de listas abiertas que les permita estar alerta de intentos de accesos no autorizados.

Para acceder al informe completo -The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk- por favor visite:

http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf