Datos en fuga: contra el factor humano
Las empresas deben integrar la seguridad en su cultura corporativa y considerar los riesgos del intercambio de datos a través de aplicaciones no autorizadas. Este es el mensaje de un estudio realizado por InsightExpress para Cisco Systems, a partir de la constatación del comportamiento inadecuado de los usuarios de TI, que habitualmente transfieren archivos de la empresa a sus ordenadores personales y hacen uso de aplicaciones Web no autorizadas. En general, como los empleados no suelen guardar las medidas de seguridad correctas, las herramientas de comunicación y colaboración que utilizan en su actividad diaria, si bien ayudan a incrementar la productividad empresarial, hacen del entorno de trabajo más vulnerable y difícil de proteger.
Según el estudio –realizado a partir de encuestas a 2.000 trabajadores (1.000 profesionales TI y otros tantos empleados de otras áreas) en 10 países diferentes–, uno de cada tres encuestados asegura no bloquear o apagar su ordenador a la hora de la comida y uno de cada cinco deja a la vista sus contraseñas o las comparte con sus compañeros de trabajo. Prácticas que animan a los potenciales intrusos a utilizar las claves para acceder a datos sensibles de la compañía. Si además el empleado utiliza el PC para su uso personal y lo presta a terceros, incluso a desconocidos, la exposición de la información corporativa a accesos no autorizados se incrementa.
Los riesgos de seguridad son mayores cuando las empresas no impiden determinadas prácticas, como el acceso a las bases de datos internas a través de diferentes dispositivos portables. De hecho, el 22% de los usuarios finales admiten sacar de la empresa datos corporativos en sus dispositivos de almacenamiento portables. Hay que tener en cuenta que un dispositivo de este tipo con, por ejemplo, una capacidad de 80 MB podría almacenar hasta 6.000 documentos de Word o hasta 720.000 correos electrónicos con información sensible de la compañía.
Riesgos del teletrabajo
Asimismo, como cada vez es más común que los empleados trabajen de forma remota, crecen los riesgos que ello comporta: el 46% de los empleados encuestados afirma transferir archivos entre su ordenador de la empresa y el suyo personal para trabajar fuera de la oficina. La privacidad también se ve comprometida habitualmente, ya que el 75% de los usuarios que participaron en el estudio asegura que no suele preocuparle cuando se encuentra trabajando en remoto en lugares públicos, y el 68% no guarda discreción cuando habla por teléfono sobre asuntos corporativos fuera de la empresa.
El estudio realizado por InsightExpress para Cisco revela una gran variedad de riesgos que las compañías están asumiendo debido a la falta de concienciación y de la tecnología adecuada en materia de seguridad. Entre los usuarios finales encuestados, el 78% admite haber accedido alguna vez a su correo personal desde el ordenador de la empresa, e incluso el 63% afirma hacerlo además al menos una vez al día. Además, uno de cada cinco empleados reconoce haber alterado la configuración de seguridad de los dispositivos corporativos con el fin de conseguir acceder a sitios Web no autorizados. Más de la mitad lo hace con una relativa ingenuidad (simplemente quieren acceder al lugar deseado), mientras que un tercio asume una actitud manifiestamente “rebelde”, argumentando que “no es asunto de la empresa” los sitios a los que ellos accedan.
En el caso de los profesionales de TI sondeados, el 70% cree que el uso de programas no autorizados es responsable de más de la mitad de los casos de fuga de datos en la empresa, y el 40% afirma haber descubierto en el último año intentos de entrada a partes no autorizadas de la red o de las instalaciones corporativas por parte de algún empleado.
A pesar de ser uno de los principales promotores de la difusión de la colaboración dentro de las empresas, Cisco advierte que la creciente movilidad y naturaleza colaborativa de las fuerzas de trabajo hace más difusas las fronteras que separan la vida laboral y la vida personal de los empleados. Un fenómeno que favorece el uso imprudente de los recursos TI de la compañía.
Recomendaciones
--------------------------
Cisco recomienda las siguientes medidas para prevenir las pérdidas de datos:
- Conocer y gestionar los datos correctamente, sabiendo dónde y cómo se almacenan, acceden y utilizan.
- Formar a los empleados sobre el valor económico de los datos.
- Crear políticas globales y formar localmente adaptándose a la cultura y realidad de cada país.
- Fomentar una cultura de la confianza.
- Potenciar la concienciación y formación sobre seguridad adaptándose a las peculiaridades locales.
Según el estudio –realizado a partir de encuestas a 2.000 trabajadores (1.000 profesionales TI y otros tantos empleados de otras áreas) en 10 países diferentes–, uno de cada tres encuestados asegura no bloquear o apagar su ordenador a la hora de la comida y uno de cada cinco deja a la vista sus contraseñas o las comparte con sus compañeros de trabajo. Prácticas que animan a los potenciales intrusos a utilizar las claves para acceder a datos sensibles de la compañía. Si además el empleado utiliza el PC para su uso personal y lo presta a terceros, incluso a desconocidos, la exposición de la información corporativa a accesos no autorizados se incrementa.
Los riesgos de seguridad son mayores cuando las empresas no impiden determinadas prácticas, como el acceso a las bases de datos internas a través de diferentes dispositivos portables. De hecho, el 22% de los usuarios finales admiten sacar de la empresa datos corporativos en sus dispositivos de almacenamiento portables. Hay que tener en cuenta que un dispositivo de este tipo con, por ejemplo, una capacidad de 80 MB podría almacenar hasta 6.000 documentos de Word o hasta 720.000 correos electrónicos con información sensible de la compañía.
Riesgos del teletrabajo
Asimismo, como cada vez es más común que los empleados trabajen de forma remota, crecen los riesgos que ello comporta: el 46% de los empleados encuestados afirma transferir archivos entre su ordenador de la empresa y el suyo personal para trabajar fuera de la oficina. La privacidad también se ve comprometida habitualmente, ya que el 75% de los usuarios que participaron en el estudio asegura que no suele preocuparle cuando se encuentra trabajando en remoto en lugares públicos, y el 68% no guarda discreción cuando habla por teléfono sobre asuntos corporativos fuera de la empresa.
El estudio realizado por InsightExpress para Cisco revela una gran variedad de riesgos que las compañías están asumiendo debido a la falta de concienciación y de la tecnología adecuada en materia de seguridad. Entre los usuarios finales encuestados, el 78% admite haber accedido alguna vez a su correo personal desde el ordenador de la empresa, e incluso el 63% afirma hacerlo además al menos una vez al día. Además, uno de cada cinco empleados reconoce haber alterado la configuración de seguridad de los dispositivos corporativos con el fin de conseguir acceder a sitios Web no autorizados. Más de la mitad lo hace con una relativa ingenuidad (simplemente quieren acceder al lugar deseado), mientras que un tercio asume una actitud manifiestamente “rebelde”, argumentando que “no es asunto de la empresa” los sitios a los que ellos accedan.
En el caso de los profesionales de TI sondeados, el 70% cree que el uso de programas no autorizados es responsable de más de la mitad de los casos de fuga de datos en la empresa, y el 40% afirma haber descubierto en el último año intentos de entrada a partes no autorizadas de la red o de las instalaciones corporativas por parte de algún empleado.
A pesar de ser uno de los principales promotores de la difusión de la colaboración dentro de las empresas, Cisco advierte que la creciente movilidad y naturaleza colaborativa de las fuerzas de trabajo hace más difusas las fronteras que separan la vida laboral y la vida personal de los empleados. Un fenómeno que favorece el uso imprudente de los recursos TI de la compañía.
Recomendaciones
--------------------------
Cisco recomienda las siguientes medidas para prevenir las pérdidas de datos:
- Conocer y gestionar los datos correctamente, sabiendo dónde y cómo se almacenan, acceden y utilizan.
- Formar a los empleados sobre el valor económico de los datos.
- Crear políticas globales y formar localmente adaptándose a la cultura y realidad de cada país.
- Fomentar una cultura de la confianza.
- Potenciar la concienciación y formación sobre seguridad adaptándose a las peculiaridades locales.
