Sin políticas, hasta el empleado es un riesgo

Redacción Tecnología

Las empresas modernas, cada vez más dependientes de la tecnología, enfrentan una gran cantidad de peligros por cuenta de las herramientas que apoyan su negocio. Virus, spyware, adware, keyloggers, phishing y spam, entre otros, son un riesgo constante y silencioso que acecha en cada computador conectado a Internet. Sin embargo, es posible que los principales daños sean causados, de forma voluntaria o accidental, por los propios empleados.

Eso opina Luis Fernando Garzón, gerente de la firma de seguridad Trend Micro en Colombia, quien dice que las dos preocupaciones más importantes hoy en día son las amenazas informáticas que llegan a través de la Red (como los virus y el spam) y la fuga de información confidencial, siendo esta última una de las más peligrosas, ya que «atenta contra los valores de una empresa y tiene un gran impacto económico al afectar su reputación».

En esto coincide Alfredo García, gerente de Computer Associates para Colombia y Perú, quien afirma que el mayor riesgo lo representan los propios empleados si no existen políticas establecidas que tengan como principal enfoque la seguridad y la protección de la información.

Incluso es posible que los trabajadores se vean involucrados sin intención en delitos que incluyen el robo de datos críticos de la compañía o la suplantación de identidad.

Un portátil repleto de información de la empresa que le roban a un empleado en un viaje (cuyos datos no están codificados), una memoria USB con información confidencial que se deja olvidada en algún sitio o un correo con virus que se propaga por la red interna por cuenta del empleado que abrió un archivo anexo son algunos ejemplos de acciones involuntarias que generan un gran daño a una compañía.

Esto se podría evitar con ciertas políticas de seguridad informática y una buena capacitación para los empleados (por ejemplo, alertar al personal sobre la importancia de no abrir archivos adjuntos sospechosos o capacitarlo en el uso de software de cifrado para información confidencial).

Por ello, Alfredo García opina que las compañías más vulnerables son las que se niegan a comprender que la seguridad de la información es un problema del negocio y no de tecnología, mucho más cuando ahora no solo los empleados directos están en contacto con datos vitales de la organización, sino que clientes, proveedores y socios de negocios también hacen parte integral de una organización.
 
Comienzo del proceso
 
Con el fin de evitar riesgos informáticos es preciso que las compañías cuenten con políticas de seguridad definidas, herramientas de tecnología y programas de educación. También deben realizar una revisión constante a todos los ambientes corporativos que puedan estar en peligro.

En opinión de Alfredo García, de CA, en las organizaciones el tema es más complejo que en el hogar, pues no basta con seguir las recomendaciones tradicionales, como la instalación de antivirus y otras aplicaciones, sino que se debe tener la tecnología y la capacitación adecuadas para prevenir cualquier ataque.

Un primer paso consiste en analizar el estado actual de seguridad de la empresa para conocer si hay alguna vulnerabilidad. Esto es imperativo pues, aclara García, las decisiones no pueden tomarse mediante una simple implementación de políticas y prácticas, sino que deben ir de acuerdo con los requerimientos de la compañía.

Con esto en mente, se definen e implementan procedimientos de seguridad que permitan una gestión unificada de la seguridad informática; esto incluye no solo el tema de hardware y software, sino ante todo la educación del recurso humano.

Además, es necesario que en las empresas se viva una cultura de seguridad, que se transmitan las políticas para que los empleados las conozcan y las pongan en práctica, dice García.

Diversas herramientas tecnológicas permiten proteger los sistemas empresariales de virus, spam, phishing y otras plagas informáticas.

Dependiendo del aspecto que se desee prevenir, es posible emplear servidores de seguridad (firewall) personales y para toda la red, filtros de contenidos, software para prevención de intrusos, antivirus, controles de acceso, manejo de identidades y aplicaciones para administrar los informes que arrojan los elementos instalados.

Alfredo García asegura que todo esto debe ser adaptable en el tiempo y estar alineado con la estrategia del negocio: «Es una tarea compleja, pero se obtienen resultados efectivos».

De igual forma, la compañía debe educar a los empleados para que cada uno sepa cómo aplicar medidas preventivas sencillas y eliminar al máximo los peligros para la organización, teniendo en cuenta que solo por el hecho de conectar el computador a Internet se podría estar en riesgo (ver abajo).

Para tener en cuenta 

– Las políticas de seguridad informática deben ser claras y fáciles de entender para usuarios no expertos en tecnología.

– Las copias de seguridad de la información del negocio deben ocupar un lugar prioritario en la estrategia de protección.

– Informe a los empleados sobre la importancia de mantener sus contraseñas privadas, de no usar claves fáciles de romper y de cambiarlas con frecuencia.

– Eduque a los empleados mediante cursos y campañas internas. El usuario promedio no tiene claras cosas como qué hacer ante un correo sospechoso, cómo reconocer un intento de phishing o qué problemas podría generar a la empresa el hecho de que él instale en su PC software sin licencia.

– Mantenga actualizado el software de la empresa con parches de seguridad y mejoras. Esto defenderá la compañía de amenazas recientes y corregirá fallas en los programas.

 

]]>

Add comment

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Archivos