| Artículos | 01 ENE 2007

El enemigo es uno de los nuestros

Tags: Histórico
Cuando el trabajador es la mayor amenaza para la seguridad
Arantxa Herranz.
Como Julia Roberts, podemos estar durmiendo (o trabajando, en este caso) con nuestro peor enemigo… y quizá ni saberlo. Son tantas y variadas las amenazas y los peligros a los que, diariamente, tenemos que hacer frente para mantener la seguridad e integridad de nuestra información que podemos no percatarnos de que, muchas veces, el gran agujero de seguridad, o la puerta de entrada de todos estos malhechores, somos nosotros mismos.

Consciente o inconscientemente, lo cierto es que muchas veces somos nosotros mismos el mayor enemigo de nuestra seguridad. Aunque a día de hoy son muy pocas las personas (especialmente en el mundo laboral) que abren archivos adjuntos en mensajes de correo electrónico cuyo remitente resulta desconocido, lo cierto es que los errores humanos están detrás de gran parte de las incidencias de seguridad registradas.
No en vano, todos nosotros trabajamos y manejamos mucha tecnología, por lo que, al final, es casi hasta lógico que el empleado sea la vía de entrada de muchos tipos de inseguridades. De ahí a hablar de culpabilidad puede haber un abismo, aunque lo cierto es que la introducción de nuevas aplicaciones (como mensajería o P2P), no lleva parejo, en muchas ocasiones, el ser conscientes de que es necesario adoptar las correspondientes políticas de seguridad para estas nuevas herramientas. En cualquier caso, y tal y como señala Fernando Martínez, director de preventa de Symantec, “el culpable es siempre el que intenta el ataque” aunque muchas veces se utilice al empleado como vía de entrada de este asalto. En este punto, cabe aclarar que la inmensa mayoría de los empleados ponen en riesgo a su empresa por ignorancia y muy pocos reconocen “buscar activamente perjudicar a la compañía desde dentro”, en palabras de Blas Simarro, director técnico de McAfee. La mayoría de estos actos delictivos se limitan a acceder a áreas del sistema TI a las que no se debería tener permiso (como recursos humanos o finanzas) o, incluso, a información de la red interna. En cualquier caso, Simarro advierte que basta un sólo empleado con este perfil para poder “acarrear a la empresa serias consecuencias, tanto para la seguridad TI como para la salvaguarda de activos corporativos confidenciales”.

¿Intención o negligencia?
Según diversos estudios, como el llevado a cabo por el propio FBI, casi la mitad de los ataques que sufre una entidad provienen de dentro de la misma. Hay quien, incluso, como Tim Pickard, vicepresidente internacional de marketing de RSA, asegura que los peligros internos son más numerosos que los externos. De estas amenazas internas podemos definir dos grupos diferenciados: los empleados con intención de causar algún daño o robar información valiosa y aquellos que, por negligencia o desconocimiento, causan daños de forma directa o indirecta, al convertirse en la forma de entrada para atacantes externos. Es decir, los que hacen daño de manera intencionada y los que no.
Dentro de las negligencias, de esos errores sin ánimo de hacer daño, algunos expertos, como los de la compañía de seguridad Sophos, consideran que quizá el error más frecuente consiste en abrir el correo de un interlocutor desconocido y responder a una solicitación dudosa, haciendo doble clic en un documento adjunto o “pinchando” en un enlace hacia un sitio Web (a la postre, una de las formas más utilizadas por los códigos maliciosos para adentrarse en redes privadas). Otra de estas negligencias más frecuentes consiste en descargar e intercambiar en el ordenador programas o ficheros de origen dudoso.
Pero estos peligros pueden provenir de situaciones más típicas, como olvidarse un ordenador portátil en un taxi, enviar por correo electrónico cifras confidenciales a una firma rival, hacer un mal uso de las claves de acceso o realizar un incorrecto tratamiento de la información, como la revelación no intencionada de información sensible en entornos ajenos a la organización. Es decir, que, tal y como señala el director de operaciones de IronGate, Enrique Fernández del Rivero, actualmente las incidencias de seguridad más frecuentes provienen del mal uso de los recursos proporcionados por la empresa a los trabajadores.
Pero, sin duda, los ataques más peligrosos son aquellos que provienen de los empleados que cometen este tipo de actividad adrede y con diversos propósitos. Tal y como señala Eusebio Nieva, director técnico de Check Point España y Portugal, los ataques más peligrosos son los producidos por atacantes internos maliciosos, “como empleados descontentos. Y tanto más peligrosos y más difíciles de detectar cuanto más conocimientos tengan los empleados”.
En cualquier caso, estos expertos aseguran que muchas veces el error más común no reside en los trabajadores, sino en el propio empresario, puesto que, en muchas ocasiones, tiene la falsa creencia de que se encuentra a salvo de cualquier ataque por el poco interés que su empresa pueda despertar a un posible atacante o porque no verifica si la configuración de sus sistemas es la correcta, lo que podría en su caso dificultar el ataque.

El número de empleados
¿Cómo influye el número de empleados que trabajen en una misma organización en la posibilidad de sufrir una amenaza así? ¿Hay alguna relación directa entre el número de trabajadores y las probabilidades de tener un empleado deshonesto o muy despistado que abra las puertas de nuestra organización a delincuentes cibernéticos? Pues aquí hay opiniones para todos los gustos. Por ejemplo, Miguel López, de Aladdin, cree que las pequeñas empresas son más vulnerables al disponer de menos recursos humanos y económicos para implementar medidas de seguridad. En líneas similares se muestra el consultor senior de Nextel, Joseba Enjuto, quien asegura que, en términos generales, los incidentes provocados por los usuarios sí que son más habituales en las pequeñas empresas, pero no por tamaño sino por recursos.
Sin embargo, para muchos otros especialistas en seguridad no tiene porqué haber una relación directa entre un menor número de empleados y un mayor riesgo de ataques internos. Es más, hay quien afirma que, al tener menos trabajadores, se reducen las posibilidades de contar con empleados descontentos en las instalaciones que podrían, en su caso, cometer este tipo de amenazas para la integridad de la empresa. No obstante, al mismo tiempo se reconoce que las compañías pequeñas suelen disponer de menos “defensas en funcionamiento para detectar y contrarrestar estas actuaciones maliciosas”, en palabras de Eusebio Nieva, quien alude al elevado coste (“no solamente en cuanto a la propia licencia de producto sino también debido al mantenimiento operativo y al coste asociado en los equipos que ejecutan el software”) la razón por la que las corporaciones más pequeñas suelen estar más desprotegidas.
Aunque muchas fuentes insisten en que los problemas son los mismos para todos los usuarios, y que la diferencia reside en el tipo de solución que hay que poner en cada caso concreto, desde Sophos también se concluye que el desafío, en realidad, es aún más grande para la pequeñas empresas. “Tienen que protegerse de la misma manera, pero disponen de menos recursos o son menos expertos en el tema de seguridad y además, frente a la multiplicación de amenazas, tienen que enfrentarse al enorme au

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información