El factor humano: el mayor riesgo para la seguridad informática

DragonJAR 336x280 El factor humano: el mayor riesgo para la seguridad informática

Siempre lo dicen los analistas expertos en y pocas veces se los escucha: los riesgos a la seguridad de una empresa son más altos a nivel interno que a nivel externo.

O, traducido: más puede dañar un empleado descuidado o un ex empleado herido que un virus, un gusano o un exploit dirigido desde quién sabe dónde.

Para muestra, vayan sólo tres datos. El 56% de los empleados ha podido ingresar al edificio de su trabajo sin presentar tarjeta de acceso, en más de una oportunidad.

Y casi el 85% de esos trabajadores ha facilitado más de una vez el acceso de alguien que no conocía a sus oficinas.

Hoy día es común que en las empresas haya una alta rotación de personal, debido a pasantías, reemplazos, o ascensos dentro de la misma firma. El 60% de los empleados aún conservan acceso a información que ya no requieren.

Tales resultados provienen de una encuesta llevada a cabo por RSA, la División de Seguridad de la empresa EMC, entre trabajadores del sector privado y público en Boston, Washington D.C. y Buenos Aires. El foco de los analistas estuvo puesto en las actitudes y conductas de seguridad de acceso de cada miembro de las empresas y organizaciones.

Los resultados del sondeo señalan que el riesgo se presenta en los datos que son manejados por empleados, proveedores, socios externos, consultores y visitantes con acceso físico y/o lógico a los datos de la empresa.Buscando políticas de seguridad

Según la encuesta, los usuarios calificados consideran que trabajan con malas políticas de seguridad para cumplir con su trabajo. Un ejemplo de eso son aquellos que no tienen acceso remoto, envían documentos por e-mail a su dirección personal para continuar su trabajo en casa (”acción que viola la mayoría de las políticas de seguridad de las organizaciones”, aclaran en RSA).

A partir de esto, el análisis mostró que:

El 35% de los encuestados considera esencial la existencia de procedimientos de seguridad como factor clave para la concreción de su trabajo.

El 63% suele enviar documentos de trabajo a su dirección de mail personal para poder trabajar en casa.

En Buenos Aires hay una tendencia creciente a llevar tareas al hogar: 5 de cada 10 empleados envía con frecuencia documentos de trabajo a su dirección de mail personal, con este fin.

“En este sentido -aconsejan en RSA-, las organizaciones deberían implementar políticas de seguridad centradas en la información, como puede ser la medición constante de la conducta del usuario.”

El tema es que, además, los usuarios internos consideran vital el acceso remoto a información sensible de la empresa. Algo que también se relaciona con “sacar” los datos fuera de las paredes de las compañías.

El 87% de los encuestados accede frecuentemente a la información de manera remota mediante redes privadas virtuales o virtual private network (VPN) o Web mail.

El 56% entra en su e-mail laboral por medio de una conexión inalámbrica pública (por ejemplo, conexión Internet inalámbrica en cafeterías, aeropuertos, hoteles)

El 52% abre sus correos electrónicos de trabajo gracias a computadoras públicas (ubicadas en cibercafés, locutorios, business centers de hoteles).

Aquí, el segundo punto problemático: el acceso remoto a datos confidenciales requiere de una autenticación más rigurosa que un nombre de usuario y una contraseña, fácilmente franqueables.

Eterna movilidad

Los usuarios internos encuestados en este trabajo durante el mes de noviembre, señalaron (en su amplia mayoría) la importancia de tener dispositivos móviles para poder realizar mejor su trabajo

El 65% de los encuestados posee un dispositivo móvil de última generación: laptop, teléfono inteligente o smartphone y/o USB flash drive, que contienen información sensible relacionada con su trabajo. Por caso: datos de clientes, información personal identificable como número de seguridad social, finanzas corporativas, datos crediticios, planes de producto, entre muchos otros.
El problema es que nada menos que el 8% de los trabajadores ha perdido en alguna oportunidad su laptop, smartphone y/o USB flash drive con información importante dentro.

En Buenos Aires, 6 de cada 10 ejecutivos están conectados con sus trabajos permanentemente por medio de dispositivos móviles: blackberry o laptop. “Esta situación que, en principio, representa una ventaja para las empresas, al mismo tiempo pone en riesgo la información crítica”, enfatiza el informe de RSA.

La importancia de la seguridad física

La seguridad física es básica para la seguridad informática en general. Los resultados de la encuesta revelan que es natural que los usuarios confíen en sus pares. He aquí los números al respecto:

El 34% de los encuestados facilitó en algún momento el acceso al edificio de la empresa a alguien a quien no conocía.

El 40%, tras haber perdido su clave o su tarjeta de acceso, pudo entrar al trabajo porque alguien que no pudieron reconocer los dejó pasar.

En Buenos Aires, por ejemplo, el 56% de los empleados ha podido ingresar al edificio de su trabajo sin presentar tarjeta de acceso, en más de una oportunidad. Además, casi el 85% ha facilitado más de una vez, el acceso al edificio de alguien que no conocía.

Por otro lado, el 66% de los encuestados comentó que la empresa para la cual trabaja les provee una red inalámbrica interna para usar en salas de conferencias o salones para invitados. De las oficinas que poseen esa red inalámbrica, un 19% reportó que el acceso a la misma es completamente irrestricto, sin requerimiento de credenciales.

“Las políticas de acceso físico no siempre garantizan que sólo los usuarios calificados estén en el edificio -explica Christopher Young, Vicepresidente y Gerente General de la División de Garantía de Identidad y Acceso en RSA.-. E incluso cuando los controles de acceso sean adecuados, no todas las personas con ingreso legítimo al edificio deberían tener acceso a la información de la compañía. Para minimizar el riesgo, los controles de seguridad física deben complementarse con los controles de acceso lógico.”

Entradas y salidas de empleados

Los cambios dentro de la compañía son constantes, es común que los roles de consultores o personal temporario se modifique con asiduidad.

El 33% de los encuestados ha permutado puestos de trabajo dentro de una misma organización, conservando el acceso a información o recursos que ya no precisan.

El 72% informó que su compañía u organización emplea a personal en forma temporaria, quienes requieren acceso a información y sistemas críticos.

El 23% de los empleados encuestados informó haber ingresado a un área de la red corporativa al que considera que no debería haber tenido acceso.

En Buenos Aires, es común que las empresas enfrenten una rotación de puestos de trabajo debido a pasantías, reemplazos, o ascensos dentro de la misma empresa. El 60% de los empleados aún conserva el acceso a información que ya no requieren.

Fuente del artículo, ArNewsYahoo


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo