Llegamos a ustedes gracias a:



Reportajes y análisis

¿Están sus empleados poniendo en riesgo a su organización?

Riesgo en organizaciones

[29/06/2015] La seguridad es, por supuesto, una preocupación principal para la mayoría de compañías, pero frecuentemente es vista como una amenaza exterior. Pero resulta que los empleados son una de las mayores amenazas a la seguridad, y aparentemente la mayoría sabe que su comportamiento es riesgoso, de acuerdo a un estudio de Blue Coat.

El estudio de Blue Coat de 1.580 empleados de 11 países descubrió los riesgosos hábitos de los empleados que acceden -a veces a sabiendas- a contenido inapropiado desde dispositivos de trabajo. Algunos de los principales problemas incluyen el acceso a contenido para adultos; sin embargo, los medios sociales también se están presentando como una nueva amenaza para los negocios.

Contenido para adultos

De acuerdo a los datos de Blue Coat, uno de cada 20 empleados estadounidenses ha accedido a contenido para adultos desde un dispositivo de trabajo, y no pueden escudarse en el desconocimiento. El 80% de aquellos que admitieron haberlo hecho también reconocieron que esto puso en riesgo la seguridad de la compañía. China fue el más grande transgresor, uno de cada cinco empleados admitió haber accedido a contenido para adultos desde un dispositivo del trabajo.

El peligro va más allá de ganarse una demanda por acoso en el trabajo. La mayoría de estos sitios suelen esconder contenido malicioso dentro de los enlaces. Así es como ganan dinero los sitios web que ofrecen contenido para adultos gratis, instalando malware en su computadora. Entonces, no se trata tanto del contenido al que acceden los empleados, sino más bien de las amenazas que se encuentran en los enlaces, de acuerdo a Joseph Steinberg, experto en seguridad cibernética.

Steinberg señala que la amenaza va más allá de los sitios web que ofrecen pornografía gratis. Esto incluye a "cualquier cosa que tenga software y películas piratas, señala. "Muchos de ellos están en el negocio de poner malware en las computadoras. Entonces el bloqueo no solo se da para evitar que el empleado haga algo malo, sino también para evitar el daño a las computadoras del negocio y probablemente a los datos.

Eso significa que un empleado que descarga contenido pirata en su computadora de trabajo ofrece más peligro que los problemas legales por acceder a ese tipo de contenido. Puede causar la caída de los sistemas del negocio, permitiendo que el malware se infiltre en el sistema y revele los datos delicados de la compañía.

El phishing

El phishing es uno de los mayores riesgos para las compañías, porque un empleado bien intencionado puede rápidamente -y sin intención- causar una amenaza a la seguridad al hacer clic en un enlace. Blue Coat encontró que aunque Estados Unidos reportó haber abierto menos correos electrónicos no solicitados que otros países (17%), el 80% de negocios aun ven al phishing como una amenaza mayor a la seguridad.

Steinberg señala que el phishing no es nada nuevo. "Es la misma cosa que estaba pasando hace 500 años cuando un tipo se aparecía en un castillo y decía 'Soy un caballero' y él había matado al verdadero caballero y tomado su armadura. Los engaños son los mismos en un medio diferente, por eso el entrenamiento solo puede llevarlo a cierto nivel. La gente sigue cayendo víctima de engaños; la gente sigue cometiendo los mismos errores.

Riesgos internacionales

El contenido para adultos, obviamente, incluye pornografía, pero las compañías internacionales enfrentan aún más riesgos cuando se toman en consideración las leyes del mundo: Lo que es legal en Estados Unidos podrá no serlo en otra parte del mundo y viceversa.

"Cualquier cosa en Estados Unidos que está clasificada como para mayores de 18 es contenido para adultos, anota Steinberg, "pero diferente países tienen diferentes reglas en este tipo de cosa, y eso es algo en lo que las organizaciones internacionales necesitan ser competentes.

El contenido para adultos puede adquirir rápidamente más significado en otros países, y es algo sobre lo cual los empleadores necesitan educar a sus empleados. Los riesgos de seguridad se vuelven más grandes si los empleados acceden sin saber a contenido ilegal mientras viajan por negocios. Las compañías necesitan considerar las implicaciones internacionales del contenido para adultos, y lo que eso pueda significar para la seguridad de sus negocios.

Los medios sociales

Los medios sociales son el nuevo medio para las amenazas a la seguridad cibernética y es difícil para las compañías monitorearlos, y menos aún asegurarlos. Blue Coat encontró que el 41% de los empleados de Estados Unidos accede a cuentas personales de medios sociales desde el trabajo, lo que es problemático porque el malware puede disfrazarse fácilmente como enlaces acortados. Los usuarios quizás no lo piensen dos veces antes de hacer clic en un tweet o post de Facebook, puesto que los enlaces acortados se han convertido en la norma dentro de los sitios de los medios sociales.

Como afirma el estudio, "un atacante podría crear un correo electrónico aparentemente personalizado dirigido a un administrador TI de una empresa grande usando información encontrada en perfiles de medios sociales, tal como su alma mater o equipo de deportes favorito.

Loa medios sociales también poseen riesgos cuando se trata de qué empleados comparten un post, ya que pueden involuntariamente dar datos sensibles sin darse cuenta.

Steinberg es cocreador de una tecnología llamada SecureMySocial, un software que puede alertar a los usuarios antes de que posteen algo potencialmente dañino. "Si estás posteando algo que se ve como si se estuviera exponiendo datos del empleado o diciendo algo que para la mayoría de estándares normativos pueda considerarse como insensato, te lo advertirá.

Implementar estos tipos de recursos a prueba de fallas es una manera de ayudar a evitar las amenazas de seguridad, pero cuando se trata con humanos, solo se puede llegar hasta cierto punto

Cómo ayudar a los empleados a entender el riesgo

El problema de que los humanos sean las amenazas a la seguridad es que no existe una solución perfecta, pero las compañías pueden trabajar para ayudar a los empleados a entender los riesgos que ellos representan no solo para la compañía, sino para ellos mismos. Los empleadores deben entender que los trabajadores esperan un cierto nivel de acceso en esta era digital, y privarlos completamente de los sitios sociales o del contenido que no está relacionado con el trabajo no ofrecerá una solución.

"La realidad es que estamos en la versión 1.0 de la mente humana señala Steinberg, "su firewall puede ser versión 20, su procesador de textos quizás sea versión 20, pero en los últimos 20 años el cerebro humano no ha evolucionado. Los mismos errores que estábamos cometiendo en el comienzo de la era de Internet, los estamos cometiendo ahora.

Cuando se trata de proteger una compañía de sus propios empleados, necesita haber un balance entre el acceso razonable y la seguridad. "Los negocios deben encontrar maneras de apoyar estas decisiones tecnológicas, mientras que al mismo tiempo mitiga los riesgos a la seguridad señala Hugh Thompson, CTO de Blue Coat.

Sarah K. White, CIO (EE.UU.)