TI camina sobre una línea muy fina entre equilibrar la seguridad y darle a la gente las herramientas que necesitan para hacer su trabajo. Todos los días, las compañías mueven datos sensibles y TI está a cargo de asegurar esos datos, pero ¿y las pequeñas cosas que tienden a colarse por los recovecos?
De acuerdo con datos de varias encuestas recientes, existen muchas cosas que sus empleados podrían estar haciendo sin saberlo para poner en riesgo a los datos y la información sensible de su compañía.
Una encuesta realizada recientemente por IPSwitch, una organización de software FTP, incluye algunas de las razones de por qué los empleados están poniendo datos sensibles en lugares donde TI no tiene control de lo que les suceda:
- Evadir los límites del tamaño de los archivos determinados por el correo electrónico del trabajo
- El correo de terceros es más veloz y tiene menos restricciones que las herramientas de correo electrónico corporativas
- Para usarlos en su próximo lugar de trabajo
- Les es difícil conectarse al correo del trabajo cuando están fuera de la oficina
- IT no monitorea lo que están enviando desde su correo electrónico personal
Sanjib Sahoo, el CTO de tradeMONSTER, dice que piensa mucho en la seguridad y en la privacidad de los clientes. Ya que trabajan en la parte de correduría en línea de la industria financiera, los datos son la sangre de su compañía y como CTO pone un énfasis extra en la seguridad de sus datos.
“Tenemos que adoptar medidas para protegernos contra la pérdida, el mal uso y la alteración de la información de los clientes y de otros datos que controlamos. Al mismo tiempo, ponemos mucha importancia en nuestra propiedad intelectual, considerando que tenemos varias patentes, registradas o pendientes, para nuestra tecnología y plataforma”, afirma Sahoo.
Esto significa que los nuevos empleados que pudieran no estar totalmente conscientes de los riesgos y de las políticas de datos necesitan capacitarse respecto a equilibrar la cultura de la cautela, la conciencia y la confianza. “Implementamos una política de seguridad estricta y una política de control de acceso cuando los empleados se integran a la compañía”, indica Sahoo.
Una reciente encuesta de Harris Interactive, realizada a nombre de Fiberlink, resalta muchos de los desafíos que los departamentos de TI están enfrentando. En la encuesta, se preguntó a 2 mil 064 de los adultos de Estados Unidos sobre su comportamiento móvil. Muchos de los siguientes comportamientos los realizan de forma benigna en un esfuerzo por hacer su trabajo pero que podrían exponer datos corporativos sensibles.
Uso de servicios de almacenamiento en la nube: Más de 50 por ciento de la gente que respondió a la encuesta de Fiberlink suben datos sensibles a servicios de nube como Dropbox y iClud. “Los servicios para compartir archivos y de sincronización como Dropbox están atrayendo a los usuarios porque son accesibles y convenientes. Sin embargo, son esos mismos atributos lo que los hace una preocupación para los CIOs y profesionales de TI”, señala David Lingenfelter, director de seguridad de la información de Fiberlink.
Abrir documentos en aplicaciones de terceros: Los miembros de la llamada generación de los ‘milenials’ son dos veces más propensos a usar sus propios teléfonos y tabletas para el trabajo, y ya que trabajar mientras se desplazan es algo extraordinario para ellos, abrir datos sensibles en aplicaciones móviles como QuickOffice, Dropbox o Evernote no es nada bueno para la seguridad de los datos corporativos.
“Definimos nuestras políticas de VPN para que los empleados pueden conectarse remotamente pero tienen acceso a datos sensibles y reportes sólo a través de dispositivos autorizados por tradeMONSTER. Sin embargo, para los correos electrónicos, etc., nos aseguramos de que los documentos sensibles se mantengan en una ubicación compartida y cuyo acceso sea controlado”, explica Sahoo.
“Abrir documentos en aplicaciones de terceros representa algunos desafíos únicos relacionados con poner en riesgo los datos corporativos. El primer riesgo es compartir datos con terceros, incluyendo aplicaciones como Facebook, Twitter, Evernote y Dropbox. Si bien los empleados pueden ser naturalmente cautos cuando envían correos electrónicos, la funcionalidad de ‘Abrir En’ es mucho menos obvia y tal vez estén filtrando datos usando ‘Abrir En’ accidentalmente. Existe una segunda dimensión en la plataforma Android, donde hay una mayor posibilidad de que entre en acción el malware. Las aplicaciones que se hacen pasar por aplicaciones confiables podrían ser el receptor de datos confidenciales cuando los usuarios abren documentos usando al impostor”, asegura Lingenfelter de Fiberlink.
Enviar datos de la compañía a través de direcciones de correo electrónico personales: Ochenta y cuatro por ciento de los encuestados reportó haber enviado datos sensibles a través de sus correos personales.
“Muchas veces los programadores ven a las políticas de seguridad de no poder usar direcciones de correo electrónico personal, unidades USB, etc., como un obstáculo para su productividad. Introducirlos a una cultura consciente del riesgo, mantener la moral alta al tiempo de mantenerlos motivados y creativos es uno de los desafíos más complicados que puede enfrentar un CIO”, dice Sahoo.
Usar aplicaciones para transferir archivos: Usted tiene que enviar a un colega un archivo que pesa 40 megabytes, pero sigue recibiendo un error en su programa de correo que dice que el archivo es demasiado grande. Ese es el escenario típico que podría hacer que los empleados evadan la política para hacer su trabajo.
Unidades USB, teléfonos inteligentes y tablets: En una reciente encuesta de Symantec, 62 por ciento de los entrevistados dijo que era aceptable transferir documentos de trabajo a las computadoras personales, tablets y smartphones. La mayoría de estos archivos, de acuerdo con Symantec, nunca se han borrado porque los empleados no entienden los riesgos que implica conservarlos.
La investigación de Fiberlink aporta información adicional (e inquietante). Cincuenta y un por ciento de los adultos empleados de Estados Unidos encuestados que tienen smartphones y tablets personales los utilizan para propósitos laborales y una tercer parte de los encuestados dijo que han perdido una unidad USB con información confidencial en ella.
Robo de datos e IP: La encuesta de Symantec reveló que la mitad de los empleados que han dejado su puesto o que han perdido su empleo en los últimos doce meses conservaban datos confidenciales de la compañía cuando cambian de compañía o negocio. En un reciente artículo Robert Hamilton, director de mercadotecnia de producto de Symantec, dijo, “Los empleados de confianza se están moviendo, compartiendo y exponiendo datos sensibles para realizar sus trabajos del día a día. En otros casos, están tomando información confidencial de forma deliberada para usarla en su próximo empleo”.
Enfrente el desafío de la seguridad digital
En estas situaciones no hay forma de que la compañía asegure que los datos son removidos o eliminados y eso representa varios desafíos para la seguridad de TI y para los encargados de redactar las políticas. Una solución, dice Lingenfelter, es prevenir la pérdida de datos a través de las aplicaciones de terceros. “Tiene sentido restringir el uso de estas aplicaciones en los dispositivos móviles en ciertas circunstancias, dependiendo de su industria o de las políticas de seguridad corporativas”.
La respuesta dice Sahoo: “Hacer que los empleados entiendan los objetivos y los riesgos de la compañía, que los hará actuar de forma acorde. ‘Confiar’ no ‘Imponer’ hace maravillas. La ignorancia se evita con la capacitación, y se evitan las violaciones intencionales al crear una cultura de confianza y respecto dentro de la organización”.
Así, la seguridad como muchos aspectos del mercado tecnológico es un blanco en movimiento. Usted tiene que entender los riesgos y establecer políticas para reducir el riesgo. “Con la tecnología en constante cambio, es muy difícil cubrir constantemente todos los aspectos de la seguridad para los empleados, pues es un proceso en evolución”, concluye Sahoo.
– Rich Hein, CIO
