| Mientras administraba redes en una base de la Fuerza Aérea de EE. UU. a finales de los años 90, Benjamin Craig se convenció de que los especialistas, incluso los militares, no tenían un conocimiento adecuado de la seguridad informática. «En este sentido, teníamos que informar constantemente a nuestros colegas sobre las amenazas asociadas con la llamada «ingeniería social», — recuerda Craig. «Ingeniería social» o «sociotecnia» nombrar métodos para engañar a los usuarios utilizados por los piratas informáticos para descubrir contraseñas y acceso no autorizado a los sistemas informáticos.
Después de dejar el servicio militar, en 2001, Craig se convirtió en vicepresidente de River City Bank en Sacramento, California, y pronto organizó clases de ingeniería social para los empleados. Esto trajo resultados positivos inmediatos. «De repente descubrimos que muchos empleados de los departamentos de servicios, mientras caminaban libremente por el banco, a menudo se encontraban en lugares donde no deberían haber estado», — recuerda Craig. Por supuesto, esto no significa que todos lo hayan hecho de forma maliciosa, pero sus movimientos incontrolados crearon oportunidades favorables para posibles atacantes, por lo que el banco tuvo que aumentar la vigilancia e instalar un sistema de videovigilancia. Además, River City Bank ha desarrollado reglas para el comportamiento de los empleados en situaciones en las que se enfrentan a una amenaza particular o un problema potencial.
Banco de la ciudad del río — más bien una excepción que una regla. Desde hace dos décadas, se escuchan advertencias en todas partes sobre la vulnerabilidad de los datos electrónicos frente a una variedad de amenazas y, sin embargo, una encuesta organizada por Cisco entre dos mil empleados y especialistas en TI de Australia, Brasil, el Reino Unido, Alemania, India, Italia, China, Estados Unidos, Francia y Japón demostraron que las empresas han hecho poco para concienciar a los empleados sobre las cuestiones de seguridad de la información. Los datos corporativos todavía están en riesgo y la principal amenaza no proviene de piratas informáticos profesionales, sino de la negligencia y los errores de los usuarios. Un estudio global encargado por Cisco a la empresa de análisis InsightExpress sugiere que la educación de los empleados debería ser una prioridad máxima en la lucha contra las fugas de datos.
Descuidar ese trabajo es especialmente peligroso hoy en día, cuando la ley y el mercado castigan severamente a las empresas por la pérdida de datos. Además, la mayoría de las veces los datos se pierden no como resultado de ataques de piratas informáticos, sino debido a un manejo inadecuado de la información, errores, negligencia, problemas técnicos y otras razones sin intención maliciosa. Las empresas están sufriendo daños cada vez mayores por la pérdida (o la llamada “fuga”) de datos, que se transmiten cada vez más a través de redes y canales de comunicación. «La red se ha convertido en una verdadera plataforma para los negocios modernos, — dice el asesor senior de Cisco en seguridad de la información, uno de los coautores del libro Secrets Stolen, Fortunes Lost, Christopher Burgess*. — El volumen de datos en las redes ha alcanzado niveles sin precedentes y no hará más que crecer en el futuro.
Sorprendentemente, la mayor amenaza a la seguridad no proviene de virus exóticos y ataques sofisticados de piratas informáticos destinados a piratear sus servidores, redes y sistemas de almacenamiento, sino del descuido de los usuarios que voluntariamente comparten información con personas externas y transfieren información corporativa utilizando dispositivos personales desprotegidos. teléfonos móviles y PDA.
«Las empresas están justificadamente preocupadas por algunas de las nuevas características, como los blogs corporativos, donde hay un intercambio incontrolado de información que puede causar grandes problemas», — afirma Phil Hochmuth, analista senior de la empresa analítica Yankee Group de Boston (EE.UU.). Según él, algunas de las nuevas amenazas no surgen por malas intenciones, sino por negligencia y descuido de los usuarios.
Si bien la tecnología de seguridad sigue desempeñando un papel importante en la prevención de la pérdida de datos, el estudio mencionado anteriormente ha puesto de relieve la necesidad urgente de cambiar el comportamiento de los usuarios. «Empresas de todos los tamaños y profesionales de todos los perfiles deben ser conscientes de cómo el comportamiento de los usuarios influye en la situación de pérdida de datos y lo que esto significa para la empresa y para cada empleado», — John Stewart, jefe de seguridad de la información de Cisco, está convencido.
Un estudio global realizado por InsightExpress encargado por Cisco identificó los diez principales factores de comportamiento que conducen a la pérdida de datos:
1. Cambiar arbitrariamente la configuración de seguridad en las computadoras.
2. Uso de aplicaciones no autorizadas.
3. Acceso a redes y dispositivos no autorizados.
4. Divulgación de información corporativa confidencial.
5. Compartir dispositivos corporativos.
6. Desdibujando las líneas entre dispositivos y comunicaciones corporativos y personales.
7. Dejar las computadoras corporativas encendidas y desbloqueadas sin supervisión.
8. Almacenar nombres de usuario y contraseñas a la vista en lugares no seguros.
9. Pérdida de dispositivos portátiles con datos importantes.
10. Movimiento incontrolado de personas no autorizadas dentro del territorio de la empresa.
Capacitar a los empleados en comportamientos de prevención de pérdida de datos no es difícil. Esto no requiere enseñar ciencias complejas ni cambiar drásticamente las prácticas existentes; basta con introducir normas generalmente aceptadas de «higiene informática personal» (al igual que cepillarse los dientes o lavarse las manos antes de comer). Estas reglas deben convertirse en una parte integral de la política corporativa, comunicarse a cada nuevo empleado y difundirse constantemente en toda la empresa mediante capacitación y comunicaciones periódicas. «La fuente de muchos problemas es que la dirección de la empresa, por alguna razón, está convencida de que los propios empleados saben cómo utilizar la tecnología de la información», — dice Phil Hochmuth. En teoría, las personas realmente deberían comprender que la información confidencial no debe revelarse a todas las personas que conocen, que la computadora no debe dejarse encendida sin supervisión y que se debe colocar una nota adhesiva con la contraseña en el monitor. simplemente estúpido. Pero, como mostró el estudio, los empleados de empresas de una amplia variedad de países y regiones no conocen estas reglas o, más probablemente, no las consideran obligatorias.
Cisco capacitó a sus empleados sobre el comportamiento correcto, centrándose no en prohibiciones administrativas, sino en recomendaciones positivas. «Mostramos videoclips cortos que ilustran las amenazas a la información y sugieren las respuestas correctas», — dice Christopher Burgess. Los empleados deben ser conscientes de las amenazas existentes y de que cada una de ellas es un objetivo potencial para los atacantes, añade el asesor senior de seguridad de la información de Cisco.
Las amenazas a la seguridad nunca desaparecerán, pero no deberían impedir que las empresas hagan crecer con éxito sus negocios. Como señaló Christopher Burgess: “El miedo a las amenazas no debería detener su empresa. Si los empleados son conscientes de las posibles amenazas y los procesos y tecnologías están bajo un control fiable, podrá desarrollar su negocio de forma segura. |
