Los trabajadores, un riesgo para la información confidencial
Los resultados de la investigación subrayan que el riesgo que se plantea para los datos por parte del personal interno bienintencionado debe ser gestionado de una forma tan cercana como aquellos riesgos planteados por el personal con intenciones maliciosas, que deliberadamente filtran datos críticos para obtener beneficios financieros u otros propósitos delictivos.
Estos empleados “inocentes” pueden exponer, en su labor diaria y sin querer, datos de extraordinario alcance y coste para la compañía, bien por negligencia, bien porque trabajan saltándose las medidas de seguridad o bien porque siguen políticas de seguridad inadecuadas.
El 35 por ciento de los encuestados ha sentido la necesidad de “obviar” las políticas y los procedimientos de seguridad establecidos en su empresa para poder realizar su trabajo, el 63 por ciento de los trabajadores que han participado en el estudio, con frecuencia o al menos alguna vez, ha enviado documentos de trabajo a su correo electrónico personal para poder acceder desde su casa.
Como es lógico, los resultados del informe indican que los empleados confían en el acceso remoto para acceder a la información corporativa mientras están fuera de la oficina, esperando en aeropuertos o trabajando desde una cafetería. El 87 por ciento de los encuestados frecuentemente o a menudo gestionan el negocio de manera remota a través de redes virtuales privadas (VPN) o correo web, el 56 por ciento frecuentemente acceden a su correo electrónico del trabajo desde conexiones inalámbricas públicas y el 52 por ciento acceden a su correo del trabajo desde ordenadores públicos (como los utilizados en cibercafés, aeropuertos, hoteles…)
El acceso remoto a datos sensibles requiere una autenticación más fuerte que un nombre de usuario y una contraseña -que pueden ser fácil y rápidamente descubiertos-. Las compañías pueden mantener la flexibilidad de los accesos remotos al tiempo que protegen datos sensibles con autenticación de doble factor a VPNs y a correo web. Además, las compañías también pueden reducir el riesgo de la pérdida de datos en entornos móviles mediante la creación, monitorización y refuerzo de políticas centradas en la información.
Por otro lado, el informe señala que los empleados necesitan que la información sea libre para conseguir mayor productividad. Así, el 65 por ciento de los encuestados aseguran que cuando salen de su oficina se llevan consigo dispositivos móviles con información sensible relacionada con su trabajo y el 8 por ciento asegura haber perdido un portátil, PDA o una memoria USB con información corporativa en ellos.
Las empresas también deben considerar el establecer un control automático y acciones de cumplimiento - para permitir, auditar, desechar, poner en cuarentena o cifrar la transmisión- basándose en la sensibilidad de los datos.
La seguridad física es absolutamente vital para la seguridad en general y, aún así, la encuesta ha desvelado que algunas veces las personas mantienen la puerta completamente abierta (incluso en redes inalámbricas). Las políticas de acceso físico no siempre son adecuadas para garantizar que sólo los trabajadores autorizados están en el edificio e incluso cuando los controles de acceso físico funcionan correctamente, no todas las personas con acceso legítimo al edificio deberían necesariamente tener acceso a la información corporativa.
Para reducir el riesgo, los controles de seguridad física deberían ser complementados con controles de acceso lógico. Las compañías pueden ayudar a proteger los datos sensibles mediante la implementación autenticación de doble factor para redes inalámbricas internas, puestos de trabajo, dominios, puertos y aplicaciones y hacer cumplir de manera apropiada los controles de acceso.
Leave a Reply