Según el estudio de Deloitte “Protegiendo los activos digitales”, realizado entre 150 empresas de TMT (Technology, Media and Telecommunications) de todo el mundo, el 63% de las compañías consideraba que estaba bien protegido contra los ataques informáticos provenientes del exterior. Sin embargo, no estaba igualmente conforme con la seguridad al interior de las empresas. El 83% se mostraba preocupado respecto a las conductas de sus empleados en cuanto al manejo de información confidencial y una de cada dos compañías había sido víctima, en el último año, de violaciones provenientes de sus mismas filas.Y para eso, no hay virus ni firewall que proteja.
El factor humano suele ser el más olvidado de la cadena del ciberdelito. La mayoría de las empresas evalúa sus flancos débiles y hace cambios, para luego volver a evaluar y corregir. Y así se va formando una espiral que, a la larga, no es sana. No estamos hablando sólo de conductas reñidas con la ética, como robar expresamente información, sino muchas veces de actos involuntarios, producto de una confianza excesiva, desconocimiento o negligencia.
A medida que aumenta la complejidad de las operaciones de las empresas, el problema va adquiriendo mayor relevancia. Las compañías buscan tener la mayor conectividad posible, para que los empleados -desde sus casas o cuando estén de viaje- o los clientes -desde el lugar en que se encuentren-, puedan acceder a distancia a los recursos de la empresa. Ello, sumado a la proliferación de tecnologías wireless y móviles, aumenta las probabilidades de que la información sea interceptada con fines delictivos.
También ha influido la creciente sofisticación de los delitos. El robo de identidad, el delito informático del siglo XXI, apela justamente a la excesiva confianza o negligencia de las personas que manejan datos confidenciales.
Una de las formas más usadas en este tipo de delito es el phishing, que consiste en el envío de un e-mail destinado a un empleado específico y que aparentemente proviene de una firma con la cual la empresa mantiene relación. En él, le piden al empleado acceder a una página web, donde debe validar datos confidenciales. Este lo hace, pues la página es igual -o al menos, parece serlo- a la de la firma en cuestión. Pero luego de ingresar los datos, aparece un error y la página ya no puede desplegarse, sin embargo los ciber-delincuentes ya han obtenido los datos que necesitan. Un ejemplo más sencillo puede ser el de un empleado que copia los planes estratégicos en su nuevo pendrive (que sirve para MP3) para trabajarlos en casa, y luego su hijo lo lleva donde un amigo lo copia, y…
La perspectiva de las personas
De nada sirve que la empresa tenga todos los controles para evitar este tipo de ataques, si no ha considerado la capacitación, sensibilización y educación de sus empleados. En otras palabras, todos los controles son en vano, si el empleado responde el spam o no protege la información.
Los usuarios de la tecnología frecuentemente ven los problemas de seguridad como algo externo, propio de los encargados del tema, pero no se ven a sí mismos como parte de la solución. Por eso, tan importante como implantar un modelo de gobernabilidad y uno tecnológico, que establezca las definiciones conceptuales, las funcionales y los están-dares de infraestructura, es la perspectiva de las personas.
Un plan de seguridad integral debe incluir tanto los procesos de negocios y la tecnología, como a las personas. Y debe ser reiterativo en este último punto. Del mismo modo que las grandes marcas nos inundan con mensajes, en todos los medios disponibles, para que compremos sus productos, y luego miden la recepción del mensaje para ver si el esfuerzo está dando frutos, las empresas deben ser reiterativas con sus empleados y colaboradores externos en el tema de seguridad informática.
Octubre de 2006
