Opinión

¿Cómo los empleados honestos se meten en problemas?

2017.12.22 | Por Ricardo Martínez, gerente de Negocios y Alianzas para LATAM, jefe de la representación de SearchInform en América Latina

Ricardo Martínez
Ricardo Martínez

Cuando la sencillez es la causa de los problemas

Puedo asegurar que con frecuencia los incidentes en el campo de la seguridad de la información se deben a la falta de capacitación de los empleados, incluso en los más respetables. Desde hace más de diez años, estamos trabajando en el desarrollo de sistemas corporativos para evitar fugas de información, dicho de otra manera, hace más de una década que estamos trabajando y mejorando las capacidades de nuestro sistema DLP (Data Loss Prevention).

Y las principales razones por las cuales los empleados se ven envueltos en situaciones desagradables se deben al no cumplimiento de las normas de seguridad informática, la excesiva confianza en los colegas o simplemente al descuido.

Un estudio reciente de nuestros analistas muestra que en la mayoría de las empresas rusas (84%) los empleados firman un acuerdo vinculado a la no divulgación de datos corporativos. La capacitación sobre cuestiones de seguridad de la información se lleva a cabo en el 72% de las organizaciones. Pero la efectividad de estas medidas será baja mientras que los empleados no entiendan la verdadera importancia que representa cumplir con las reglas. Sólo entonces podemos esperar un resultado positivo.

Víctimas inocentes, empleados descuidados y vulnerables

La fuga de información rara vez ocurre por accidente. Lo que motiva al atacante suele ser conseguir una satisfacción personal. Cuando los buenos empleados están involucrados en una fuga, las cosas son más complicadas. Analizando estos incidentes, llegamos a la conclusión de que los miembros involuntariamente involucrados en actividades ilegales se pueden dividir en tres grupos.

1 - Víctimas inocentes

En este grupo se incluyen los empleados desprevenidos, aquellos que fueron incriminados por alguno de sus colegas en un delito.

En la empresa de nuestro cliente, los especialistas en seguridad informática descubrieron que un empleado tenía almacenados en una partición de su disco, archivos de gran importancia a los que él no tenía acceso autorizado. Como esto constituye una sería violación al reglamento interno demandó una investigación urgente.

Del análisis surgió que en la computadora del empleado se usaba con frecuencia un programa de acceso remoto, el cual no era necesario para su trabajo habitual.

La investigación del servicio de seguridad descubrió que el implicado en el incidente de seguridad no tenía conocimiento de los archivos allí almacenados ni sabía como utilizar un programa para acceso remoto.

El responsable de la fuga resultó ser un técnico de la empresa que usaba la computadora del empleado para almacenar temporalmente los datos seleccionados antes de transferir la información confidencial a terceros.

2 - Empleados descuidados

Así llamo a aquellos empleados que son responsables de fugas de información por negligencia, ignorancia o ingenuidad.

Un simple ejemplo. En una empresa dedicada a la instalación de sistemas eléctricos, un empleado antes de renunciar reenvió a su correo electrónico personal documentos de trabajo entre los cuales había algunos confidenciales.

El DLP detectó la violación a una política de seguridad interna y los especialistas en seguridad informática actuaron a tiempo y pudieron prevenir a tiempo el incidente.

Este empleado no tenía idea que había descargado información secreta e ignoraba el precio que esta tendría si llegaba a manos de la competencia. Se estimó que si esta información se hubiera filtrado por la negligencia de este ex empleado, se hubiera producido una pérdida cercana a los 169 mil dólares en un año.

3 - Empleados vulnerables

Son aquellos empleados que esconden algo de su pasado o de su vida privada y al ser descubierta alguna debilidad, se vuelven vulnerables y pueden ser posibles víctimas de gente con malas intenciones.

Pueden ser, por ejemplo, deudas pendientes, drogadicción, alcoholismo, costumbres de vida algo distintas o la enfermedad de un familiar.

El sistema permite configurar grupos de riesgo donde los especialistas pueden monitorear con mayor detalle si se produce algún incidente provocado por estafadores que se aprovechan de estas debilidades para chantajear a los empleados incluidos en el grupo.

He aquí un caso de nuestra práctica profesional. En una empresa por razones desconocidas se escogía siempre a los mismos proveedores, aunque las condiciones que estos ofrecían no eran las mejores.

Los expertos en seguridad informática iniciaron una investigación sobre el Jefe de compras bajo la sospecha que este recibía sobornos, pero con resultado negativo. Entonces, los expertos en seguridad notaron otro punto interesante. La encargada de las compras mantenía una relación afectiva con un colega de otro departamento. Este sentimiento fue utilizado por el colega para inducir a la encargada de compras a seleccionar a aquellos proveedores de los cuales luego él recibiría algunos 'premios¡.

Cómo impedir incidentes causados por empleados descuidados

Incidentes causados por 'víctimas inocentes' pueden ser descubiertos y más aún, impedidos, sólo por los expertos en seguridad informática. La 'víctima', además de no saber lo qué pasa, no tiene ni la destreza profesional ni el conocimiento para descubrir y neutralizar a los atacantes.

A los empleados con 'secretos' lo expertos le prestan mayor atención y en cuanto a los empleados del segundo grupo a quienes llamo 'empleados descuidados', les pasan incidentes con mayor frecuencia por su falta de atención y negligencia en relación con normas elementales de seguridad.

Daré a continuación algunos ejemplos típicos.

1 - Lo mío es suyo

Los expertos en seguridad informática detectaron la actividad de un usuario en una computadora mientras el empleado se encontraba de vacaciones y no debía estar activo.

Sucedió que le dejó todas las claves a un colega por las dudas, y le dijo ‘si necesitas algo, búscalo y no me llames’.

Cabe destacar que ese tipo de prácticas está categóricamente prohibido por las normas internas de la empresa. En la computadora del empleado se guardaba información confidencial que en caso de fuga causaría serias pérdidas financieras y daño a la reputación. La fuga se previno a tiempo y el empleado descuidado recibió capacitación adicional en normas de seguridad informática.

2 - Amantes de las selfies

En una empresa de la industria militar que se cuenta entre nuestros clientes, dos empleados debieron ir a trabajar durante el fin de semana. El lunes el departamento de seguridad examinó sus actividades y resultó que los empleados visitaron un sector secreto, se tomaron una foto con un cohete desarmado como telón de fondo y la publicaron en las redes sociales.

Los expertos en seguridad reaccionaron con diligencia frente al incidente y la foto fue borrada.

Hechos como estos, en apariencia inocentes, habrían provocado la ruptura del contrato con un cliente muy importante y la pérdida de más de cuatro millones de dólares estadounidenses.

3 - Nube con secretos

La contadora principal de una empresa especializada en transporte de carga, descargó un archivo grande con documentos en un servicio de almacenamiento en la nube muy popular. Ella no tenía malas intenciones, sólo que hacerlo le resultaba más cómodo para continuar trabajando desde su casa.

Los expertos en seguridad informática alertados por el DLP de estos movimientos y debido a que la empresa era una sociedad limitada, el acceso a cierta información no podía ser de libre acceso.

Después de revisar los documentos, se detectó que la información descargada no debía ser divulgada pues si llegaba a la competencia, las pérdidas ascenderían a 506 mil dólares de estadounidenses.

La protección de la información es una medida indispensable para disminuir los riesgos del negocio y tanto la capacitación y el entrenamiento continuo del personal en temas de seguridad informática son parte esencial de esta.

Sólo de esta manera se puede proteger a la empresa de los empleados que comenten errores sin premeditación en su trabajo con el manejo de los datos confidenciales.