1

¿La información de su compañía en la actualidad está en riesgo?

seguridad_TILa TI mantiene un fino equilibrio entre balancear la seguridad y dar a los trabajadores las herramientas que necesitan para realizar de manera efectiva su trabajo. Todos los días las compañías movilizan datos confidenciales por todos lados y el equipo de TI es el encargado de proteger esa información, pero ¿qué pasa con las pequeñas cosas que tienden a pasar desapercibidas?

Según los datos de una serie de encuestas recientes hay un número de cosas que sus empleados pueden estar haciendo inadvertidamente, y que ponen los datos e información confidencial de su empresa en riesgo.

Una reciente encuesta realizada por IPSwitch, una organización de software FTP, incluye algunas de las razones por las que los empleados están poniendo los datos confidenciales en lugares donde la TI no tiene control sobre estos:

  • Para evitar los límites de tamaño del archivo prescrito en el correo electrónico del trabajo.
  • Otros correos electrónicos son más rápido y tienen menos restricciones que el de la empresa.
  • Para usarlos en su próximo empleo.
  • Se les hace difícil conectarse al correo electrónico del trabajo cuando están fuera de la oficina.
  • TI no monitorea lo que están enviando a través del correo electrónico personal.

Sanjib Sahoo, CTO de tradeMONSTER señala que piensa mucho sobre el tema de la seguridad y privacidad del consumidor. Cuando se trabaja en la sección del corretaje de la industria financiera, los datos son el alma de la compañía, y como CTO hace énfasis en la seguridad de sus datos.

“Tuvimos que poner medidas estrictas para la protección en caso de pérdida, mal uso y alteración de la información de los datos del consumidor y cualquier otro tipo de datos que controlamos. Al mismo tiempo, le dimos mucha importancia a nuestra propiedad intelectual, considerando que tenemos varias patentes, concedidas y pendientes, por nuestra tecnología y plataforma”, agrega Sahoo.

Esto significa que los nuevos empleados que no son totalmente conscientes de los riesgos y la política de datos, necesitan formación en lo que respecta a la cultura de preocupación, consciencia y confianza. “Implementamos una política de seguridad y de control de acceso muy estricta cuando los trabajadores se unen e ingresan [a la empresa]”, agrega Sahoo.

Una reciente encuesta realizada por Harris Interactive en nombre de Fiberlink destaca muchos de los retos que actualmente los departamentos de TI tienen que enfrentar. En la encuesta, se les preguntó a 2.064 adultos estadounidenses sobre su comportamiento respecto a los móviles. Muchos de los comportamientos nombrados a continuación son realizados de manera benigna y con ninguna mala intención en un esfuerzo por terminar el trabajo asignado, pero aun así pueden estar exponiendo potencialmente los datos corporativos confidenciales.

Uso de servicios de Cloud Storage: Más del 50% de los que respondieron a la encuesta de Fiberlink declararon haber subido datos confidenciales a los servicios de la nube como Dropbox e iCloud. “Los servicios de intercambio de archivos y de sincronización como Dropbox son atractivos para los usuarios de negocio, ya que son accesibles y prácticos. Sin embargo, son esos atributos los que hacen que la nube se convierta en un problema de seguridad para los CIO y profesionales de la tecnología informática”, señala David Lingenfelter, Jefe de seguridad de la información de Fiberlink.

Abrir documentos en otras aplicaciones: La generación milenaria o Y, que son los nacidos entre los años 80 y 2000, son dos veces más propensos a usar sus propios teléfonos y tabletas para el trabajo. Asimismo, mientras trabajar en sus propios celulares es genial, abrir datos confidenciales en aplicaciones móviles como QuickOffice, Dropbox o Evernote no es nada bueno para la seguridad de los datos corporativos.

“Definimos nuestras políticas VPN o de Red Privada Virtual de forma que los empleados puedan conectarse remotamente pero tener acceso a datos/reportes confidenciales, solo a través de dispositivos móviles autorizados por tradeMONSTER. Sin embargo, para los correos electrónicos, nos aseguramos que los documentos confidenciales estén guardados en un lugar común donde se pueda controlar el acceso”, señala Sahoo.

“Abrir documentos en terceras aplicaciones presenta algunos retos, ya que pone los documentos corporativos en riesgo. El primer riesgo es compartir los datos con terceros, incluyendo aplicaciones como Facebook, Twitter, Evernote y Dropbox. Aunque los trabajadores pueden ser prudentes o cautelosos al enviar correos electrónicos, la función de ‘Abrir En’ puede convertirse en una manera de filtrar datos involuntariamente. El segundo riesgo está presente en la plataforma de Android, donde hay una gran posibilidad de que el software malicioso juegue un papel importante. Esas aplicaciones que se hacen pasar por confiables podrían ser las receptoras de datos confidenciales cuando los usuarios las usen para abrir documentos”, agrega Lingenfelter de Fiberlink.

Envío de datos de la compañía a través de las cuentas personales de correo electrónico: El 84% de los encuestados declararon enviar datos confidenciales a través de sus cuentas personales de correo electrónico. “Muchas veces los programadores ven varias políticas de seguridad, como la de no poder usar cuentas personales de correo electrónico, memorias USB, etc., como un obstáculo para la productividad. Inculcar a los trabajadores una cultura de consciencia de los posibles riesgos, mantener la moral alta y mantenerlos motivados y creativos, significa uno de los retos más difíciles al que un CIO se tiene que enfrentarse”, señala Sahoo.

Usar aplicaciones para la transferencia de archivos: Tiene que enviarle un archivo que pesa 40MB a su compañero de trabajo, pero cada vez que lo intenta mandar por correo electrónico le sale que el archivo es muy pesado. Esa es una situación típica en la que se podría encontrar al trabajador, con las manos en la masa, evitando las políticas de la empresa para poder terminar su trabajo.

Memorias USB, smartphones y tablets: En la encuesta reciente realizada por Symantec, el 62% de los encuestados dijo que era admisible transferir los documentos del trabajo a las computadoras personales, tabletas o smartphones. La mayoría de estos archivos, según Symantec, nunca son borrados de los dispositivos, porque los trabajadores no llegan a comprender los riesgos que implica quedarse con ellos.

La investigación de Fiberlink saca a la luz algunos datos adicionales (y problemáticos). El 51% de los adultos estadounidenses empleados que tienen smartphones/tabletas, los usan para fines relacionados al trabajo y un tercio de estos afirmaron que en algún momento habían perdido una memoria USB que contenía información confidencial.

Robo de datos y propiedad intelectual: La encuesta de Symantec reveló que la mitad de los trabajadores que dejaron su puesto de trabajo o lo perdieron en los últimos 12 meses, se quedaron con los datos confidenciales de la compañía para usarlos en su próximo trabajo o negocio. En un artículo reciente Robert Hamilton, director de marketing de producto en Symantec señala, “los trabajadores confiables están compartiendo, intercambiando y exhibiendo datos confidenciales con el fin de hacer su trabajo diario. En otros casos, están tomando información confidencial deliberadamente para usarla en su próximo trabajo”.

Afronte el desafío de la seguridad digital

En estas situaciones no hay manera de que la compañía asegure que los datos sean removidos y/o eliminados, y eso significa un gran desafío para los encargados de la seguridad y la creación de políticas. Una solución, señala Lingefelter, es prevenir la perdida de datos a través de terceras aplicaciones. “Tiene sentido restringir el uso de esas aplicaciones en dispositivos móviles bajo ciertas circunstancias, dependiendo de su industria o políticas de seguridad corporativas”.

La respuesta, agrega Sahoo es: “hacer que los trabajadores entiendan las metas y riesgos de la empresa, lo que a su vez los va a animar a actuar de manera correcta. “Encargar” y no “obligar” funciona de maravilla. La ignorancia es eliminada con la formación y entrenamiento, y las violaciones intencionales se evitan creando una cultura de confianza y respeto dentro de la organización”.

Dicho esto, la seguridad como muchas de las ramas o aspectos del mercado tecnológico es un blanco móvil. Tiene que entender los riesgos inherentes y crear políticas estrictas para minimizar el riesgo. “Con la tecnología cambiando constantemente, es muy difícil alcanzar todos los aspectos de los títulos valores/las garantías para los trabajadores, por tanto es un proceso en constante evolución,” señala Sahoo.

Rich Hein, CIO