Buscando...
30 agosto 2006
17:56

Las compañías no sólo deben ocuparse de los hackers:el enemigo está adentro

http://www.rebelion.org/noticia.php?id=26951



Michael Totty
The Wall Street Journal


¿Qué es lo que le quita el sueño al encargado de seguridad informática de su empresa?

Usted.

Si uno le pregunta a la gente sobre seguridad, lo primero en lo que piensa la mayoría es en un hacker de fuera de la empresa. Sin embargo, los trabajadores suponen un riesgo al menos igual de grande para los sistemas de una compañía y los valiosos datos que contienen.
Los empleados pueden robar secretos comerciales o vender registros financieros de clientes o mirar a escondidas el correo electrónico de sus jefes. O sencillamente pueden ser descuidados, no asegurar sus laptops o enviar información confidencial en un correo electrónico no codificado que cualquiera puede leer.

En otras palabras, los miembros de la empresa son un problema precisamente porque se confía en ellos lo suficiente como para dejarlos entrar. "Usted les ha dado las llaves del castillo", dice Scott Charney, director general de estrategia de seguridad de Microsoft Corp. "Cuanto más importantes son para la organización, más acceso tienen".

¿Qué pueden hacer las empresas para atajar el problema? Estas son algunas recomendaciones de los expertos de seguridad para resolver las dificultades de seguridad que plantean los empleados conflictivos.

Conozca sus riesgos

Puede parecer obvio, pero lo primero que debe hacer una compañía es comprender dónde y cuándo exactamente puede ser vulnerable a los delitos o errores de sus empleados. Los gestores de riesgo tienen una fórmula sencilla para ayudar a contestar esta pregunta. Primero, haga una lista de todas las amenazas probables. Entonces evalúe las probabilidades de que se lleven a cabo. Por último, calcule el daño posible en caso de que sucedan.

Conozca a sus empleados

El mejor momento para acabar con los empleados potencialmente peligrosos es antes de contratarlos. Los expertos en seguridad recomiendan comprobar los antecedentes al contratar para puestos susceptibles, como la gente que gestiona los sistemas de computación de una compañía o cualquiera que trabaje en seguridad de computadoras.

Tomemos en cuenta las instituciones financieras, en las que incluso los empleados de niveles más bajos pueden tener acceso a información valiosa sobre los clientes y causar grandes pérdidas. Un sondeo realizado en 2004 sobre 23 incidentes de uso inadecuado de los sistemas de computación por parte de los empleados determinó que la cuarta parte de los empleados implicados tenía antecedentes delictivos.

Los expertos de seguridad señalan, además, que la mayoría de los problemas con los empleados no son malintencionados. Algunos empleados ponen datos médicos confidenciales en un correo electrónico porque no saben que no es seguro, dejan sus computadoras desatendidas o escriben contraseñas en notas adhesivas que esconden bajo el teclado.

Limite el acceso

Los expertos en seguridad lo llaman "el principio del menor privilegio": tras dividir la información en más (y menos seguras) clasificaciones, las compañías necesitan limitar el acceso a dicha información. Por ejemplo, en la consulta de un médico, los médicos y las enfermeras necesitan ver el historial clínico de los pacientes, pero no necesitan ver sus números de identificación.

Los administradores de sistemas informáticos son un caso especial, ya que su trabajo les proporciona acceso a toda la red de computadoras de la compañía. Sin embargo, existen maneras de minimizar los daños posibles. Para empezar, las compañías deberían exigir que todos los administradores se conecten a los sistemas usando su propio nombre, y no las habituales cuentas universales y anónimas "admin".

Use la codificación

La práctica de codificar sus datos de modo que sólo puedan ser interpretados por un decodificador se usa cuando gente con distintos derechos de acceso debe usar la misma información en una base de datos. Así, una compañía puede almacenar de manera segura un número de identificación de un cliente y sólo revelar los cuatro últimos dígitos en la pantalla de un representante de atención al cliente.

En última instancia, se trata de asegurarse de que los empleados conozcan las normas y de que sean ellos los responsables si no se cumplen.

En Holanda, BT Global Services ha probado un sistema de multas tomado del fútbol para asegurarse que sus empleados no dejen sus laptops en sus escritorios. Por la primera falta, seguridad le retirará la computadora y dejará una tarjeta amarilla con una advertencia y diciendo que la laptop puede recuperarse en el departamento de seguridad. La segunda vez que se produce una infracción, el empleado recibe una tarjeta roja y tiene que acudir a su jefe para recuperar la laptop.

http://online.wsj.com/public/article/SB114004792825675269.html?mod=spanish_whats_news

0 comentarios:

 
Back to top!