| Artículos | 01 MAY 2007

Factor humano: alto riesgo

Tags: Histórico
Un estudio de McAfee revela que los empleados europeos ponen en riesgo los datos de las empresas
Bárbara Madariaga.
Ni virus, ni phishing, ni spam, ni nada. Los empleados son, al parecer, la mayor amenaza para una empresa. Por lo menos eso es lo que asegura un informe realizado y dado a conocer por McAfee, que además también revela que la pérdida de datos en las empresas europeas es algo de lo más habitual. Es por este motivo por lo que aplicar políticas de comunicación acerca de la seguridad se ha convertido en un pilar básico para todas las compañías, ya que, “los programas de iniciación” son muy útiles para evitar males mayores. Las inversiones en soluciones para proteger los datos corporativos de las amenazas externas y los hackers están siendo minadas por los propios empleados de las compañías. Ésta es una de las principales conclusiones que se desprende de un informe realizado por la McAfee, que, además, advierte al tejido empresarial europeo que es necesario que introduzcan “una formación en materia de seguridad a los nuevos empleados para salvaguardar la información”. Resultados Si nos centramos en los resultados del informe, el primer dato a destacar es aquel que afirma que sólo un 32 por ciento de las empresas europeas medianas incluye la seguridad informática entre los apartados de la iniciación de empleados, mientras que el 39 por ciento incorpora una política de uso de internet. No obstante, cabe señalar que el 70 por ciento de las empresas son más conscientes ahora que hace tres años de los riesgos asociados a los nuevos empleados. Continuando con los resultados, sólo el 39 por ciento de las empresas cuentan con directrices para empleados acerca del contenido y uso del lenguaje en el correo electrónico; el 28 por ciento sobre el uso de dispositivos de almacenamiento extraíbles; y el 23 por ciento sobre el uso de portátiles. ¿De quién es la responsabilidad? Atendiendo a los datos anteriores, cabria preguntarse ¿quién es el último responsable de los desastres o la pérdida de información por un error humano? Pues bien, según el informe de McAfee, “en la mayoría de los casos en los que se plantean problemas de seguridad, los encuestados cargan el grueso de la responsabilidad en el empleado”. Y es que es destacable el hecho de que el 55 por ciento de los empleados recibe correo electrónico personal en el servidor de la empresa, con lo que, en muchas ocasiones, es el causante, sin querer, de propagar virus por la red. De la misma forma, el 67 por ciento de los ordenadores portátiles de la empresa bajo responsabilidad del empleado son robados fuera de las dependencias de la compañía. “Mientras que los empleados tienen el papel de salvaguardar las propiedades de la empresa, la imprecisión, y en algunos casos la inexistencia de los procesos de iniciación, dejan a los empleados injustamente expuestos. Las empresas deberían tomar nota de que existen precedentes legales en Europa, resultando condenatorias para la empresa, como resultado de mensajes de correo electrónico de un empleado cuyo contenido se consideraba difamatorio, no cumplía con la confidencial o con el contrato con el cliente”, puntualiza el estudio. Algunas advertencias McAfee no es partidario de “echar la culpa” al empleado. “Al considerar la seguridad de la información, las empresas deben diferenciar claramente qué cosas son responsabilidad de los empleados y cuáles son atribuibles a faltas de previsión de los propios empresarios. Aunque las acciones de los empleados pueden desembocar en infracciones de la seguridad, el responsable último de los procesos y condiciones que rodean los incidentes de seguridad es el empresario”. Fallos de los empresarios Greg Day, analista de seguridad de McAfee, va más allá al asegurar que “mientras muchas empresas tienen como prioridad la introducción de sus trabajadores, muchas otras fallan en la eficacia de cubrir la vida laboral de su plantilla, el uso del PC o las políticas de uso de internet. Las empresas fallan en encontrar la oportunidad de inculcar a los nuevos empleados el sentido de la alerta y la seguridad. Esta desinformación, unida a la carencia de la ejecución, aumenta el riesgo de que los nuevos empleados, deliberadamente o no, violen las políticas de privacidad corporativa”. Además, las pequeñas y medianas empresas parecen obviar otra realidad: la gente cada vez cambia de trabajo con más asiduidad, con lo que mantener protegido sus datos se convierte en algo fundamental para la supervivencia de su propio negocio. Políticas de iniciación Continuando con los datos del estudio, cabe destacar que casi tres cuartas partes de las empresas consultadas (el 73 por ciento) dicen haber revisado su política de iniciación en los últimos 12 meses, las compañías todavía parecen estar limitando el acceso a la información después de la sesión inicial para saber cómo se guarda la información o cómo restringir el acceso a las redes informáticas. Sólo la tercera parte de los encuestados tiene sus documentos disponibles para toda la compañía mediante archivos colgados en intranet o carpetas compartidas. Por países, los procesos de formación suelen ser de muy poca duración en, por ejemplo, Alemania, “donde un 36 por ciento de las compañías las completan en poco más de 3 horas”. En cambio, en nuestro país estos procesos tienen una duración muy superior, ya que el 32 por ciento de las empresas tienen una duración de más de dos días. En Francia y el Reino Unido la duración es de medio día. ¿Una cuestión de confianza? No obstante, una cosa está clara: las empresas se dan cuenta del riesgo de las amenazas. No informar a sus empleados de las amenazas puede suponer un problema. Tal es así que el 72 por ciento de los encuestados piensa que los empleados saben que están siendo vigilados más de cerca por los empresarios. Este resultado tiene una doble lectura, mientras que el 29 por ciento cree que esta situación inspira confianza, el 28 por ciento cree que la socava y el 38 por ciento cree que su efecto es neutro. Recomendaciones de McAfee Para concluir, McAfee realiza una serie de recomendaciones a las empresas para lograr aminorar el daño que puedan ocasionar los errores humanos. Así, la primera sugerencia que realiza la multinacional es cubrir todas las posibilidades. Es decir, “asegurase de que el material de iniciación existente dedica tiempo suficiente a la exposición a los riesgos de seguridad; ya que éste podría poner de manifiesto deficiencias en el enfoque actual de la seguridad”. Entender las percepciones de los empleados, “al evaluar en qué medida estos están informados sobre temas de seguridad, tales como las notas de descargo de responsabilidad en el correo electrónico, el correo electrónico no deseado y el teletrabajo”, es el segundo consejo, seguido de la necesidad de dejar claro de quién es la responsabilidad de los riesgos. Realizar un análisis independiente, “a través de la contratación de una empresa asociada, un cliente o un tercero independiente, para que éste pueda dar su opinión sobre los aspectos de la información que admiten mejoras”, también es un factor importante. Por último, otro punto interesante para asegurar la seguridad de las empresas es “nombrar a responsables de la seguridad virtual, ya que esto garantiza una actitud vigilante respecto a la seguridad de la información y a la sensibilidad de los empleados”.
Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios