La seguridad desde adentro: no es un trabajo grato, pero hay que hacerlo

4 Nov 2003 en Seguridad

Los gerentes a cargo de la seguridad de la información que ahora vuelven su mirada sobre el personal

que trabaja dentro de las empresas, son cada vez más. Son muchos los que buscan soluciones de software de monitoreo para

usarlo lo antes posible y no están pensando precisamente en los intrusos que puedan atacar desde el exterior. Les preocupa y mucho, la gente que está dentro de las fronteras organizacionales.

            ¿Qué es concretamente lo que están haciendo para controlar la seguridad? Por ejemplo, se están escaneando mails entrantes y salientes para detectar determinadas palabras que puedan mostrar la filtración de información corporativa, passwords u otra información crítica de acceso. Además, se tienen en cuenta los sitios que visitan los empleados de la empresa.

            A todo esto, los analistas en seguridad están convencidos de que es algo que se debe hacer, aunque se trate de controlar a esas mismas personas con las que tomamos café y eso no las haga sentir precisamente cómodas. Aunque vivamos temiendo a las amenazas de ataques desde afuera y tengamos las medidas necesarias, debemos recordar además que más seguido de lo que uno piensa, la amenaza está dentro de la empresa.

            Existe gente autorizada para ver los archivos de personal clave y averiguar su sueldo y otra información. Se dan casos de gente que ha recibido dinero por extraer planes de marketing o ingeniería de las empresas. De hecho, la gente que conoce el movimiento y actividades de la empresa está en mejores condiciones de obtener información utilizable que un atacante o intruso que llega del exterior. A menudo, la información pierde sentido si no se conoce su contexto más ampliamente que a nivel de datos puros.

            También se han dado casos en los que se ha dañado información para perjudicar a otro empleado con el que se antipatiza. Tenemos casos de conexiones inalámbricas que se dejaron abiertas intencionalmente y las consecuencias costaron muy caras. Es así que Gartner Inc. la conocida firma analista de la industria, reportó que la mayoría de las pérdidas financieras en delitos o felonías informáticas, fueron causadas por manos internas. Otras firmas analistas aseguran que entre el 70% y el 90% de los daños se originan internamente.

            La parte brutal de todo esto es que son los empleados y no algún inadaptado que ande por allí o un saboteador profesional, quienes pueden herir más profundamente a la compañía. Ellos saben dónde pegar para que duela.

            Se pueden hacer muchas cosas para prevenir, pero el tema es muy urticante. Están los derechos individuales de por medio y otras componentes morales respecto a la intimidad de los individuos.

            El trabajo más duro no consiste en controlar. Lo más difícil es hacer que la gente sepa que no debe esperar privacidad en su lugar de trabajo. Pero para comunicar esto debemos ser específicos: “la compañía monitorea mails ya sean enviados por nuestro email como por yahoo! u otros.” “Tenemos software que monitorea aleatoriamente las teclas que se digitan desde los puestos de trabajo,” etc. Algo fundamental y tal vez difícil: Estas políticas se deben aplicar indiscriminadamente.