viernes, 24 de noviembre de 2017

Cuando el recurso más valioso de la organización se transforma en amenaza


¿Qué es un delito informático y quiénes lo cometen?

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos” [1]. La informática puede ser el medio o el fin de esos actos delictivos llevados a cabo por individuos malintencionados [2]. Por ejemplo, en la informática como medio un ciber delincuente utilizaría un ordenador para acceder sin permiso a un sistema y robar información para después venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la informática es un fin sin importar el medio utilizado para lograrlo.

¿Dónde está el foco de la seguridad en las organizaciones y qué se descuida?

Cuando se habla de delitos informáticos lo más habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro que residen fuera de la organización. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos. 

Estadísticas de delitos informáticos y fugas de datos en relación con los empleados

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversación de fondos o ataques de venganza tras haber sido despedidos. Según un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el 34% de la información de las organizaciones se ve comprometida intencionalmente por el personal interno [3]. Otro artículo publicado por Heimdal Security en 2016 indica que el 59% de los empleados roba información de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo está en los usuarios con accesos privilegiados [4]. Esta información robada es la que posteriormente sería utilizada para cometer diversos tipos de delitos.

¿Para qué se utiliza comúnmente la información robada por los empleados?

La 10ma Edición del “2017 Data Breach Investigations Report“ de Verizon alerta que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye: proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje [5].

¿Cómo suelen los empleados hacerse con la información?

La fuente mencionada anteriormente también indica que los empleados logran acceder a la información que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

¿Qué motiva a un empleado a robar información?

Según el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la información de la empresa al resultar tentado con la ganancia financiera

¿Por qué el empleado se anima a delinquir?

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).

¿Cómo prevenir estos delitos y cómo reducir las consecuencias en caso de que ocurran?

La implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos informáticos por parte de los mismos. Además, las políticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consuma algún tipo de delito.

La correcta implementación de políticas y gestión de contraseñas y controles de acceso son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusión

A la hora de llevar adelante la gestión de seguridad de la información la organización debería considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una riesgosa exposición. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas - y lo sabe - y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Fuentes

0 comentarios:

Publicar un comentario