Más Mente que Tú
22 04 2008, 02:07 PM
Robo de información confidencial: la mitad de los ataques los cometen los mismos empleados
http://img381.imageshack.us/img381/3676/imagenlm9.jpg (http://imageshack.us)
La utilización de dispositivos móviles y el acceso liberado a toda la información de la compañía -sin claves diferenciadas- presentan un peligro latente para las organizaciones.
Según recuerda un reporte de Financial Times, 17 ejecutivos de varias firmas informáticas, entre otras de Hitachi, fueron descubiertos por el FBI cuando se disponían a comprar material robado a IBM allá por 1986.
Otro artículo publicado por The New York Times a mediados de 1998 dio cuenta de una investigación que llevaba a cabo la justicia norteamericana contra una subsidiaria de Reuters por supuesto espionaje industrial contra su principal competidor, Bloomberg.
Y sin ir tan lejos, a fines de 2007 explotó el escándalo y el pánico entre los posibles afectados luego que un ex ejecutivo de Transbank robara una base de datos. En su declaración, el imputado presumió que "es perfectamente vulnerable (sic) obtener esa información". Simplemente, había que conseguir las llaves que le permitían desencriptar los códigos...
Y es que varios de los tradicionales mecanismos de seguridad corporativa resultan impotentes frente a las nuevas modalidades de espionaje industrial.
Los trituradores de papeles, por ejemplo, que usaban las grandes compañías para evitar que la competencia hurgara en su basura se convierten en piezas de museo. Lo mismo ocurre con los tradicionales códigos de buena conducta...
Ahora, las organizaciones simplemente desconfían de todos. Uno de los casos llamativos lo presenta el propio Banco Central, que estableció un plazo mínimo de dos meses entre la renuncia de un ejecutivo clave y su salida efectiva.
Durante este período, los profesionales en transición se desligan de sus funciones sensibles y, en consecuencia, dejan de acceder a información reservada. La idea es que transcurra un plazo prudente, de modo que no se presenten conflictos de interés entre manejar información relevante del instituto emisor y luego pasar al sector privado.
Enemigo
Lo más preocupante de todo es que más de la mitad de los ataques provienen de adentro de la propia organización. Según Óscar Bize, socio del área de Riesgos de Deloitte, "los consultores creemos que es incluso un porcentaje mayor, pues en general las empresas no están dispuestas a decir que tienen problemas de seguridad".
Las principales falencias -dice- están dadas por los hábitos de los propios ejecutivos. La utilización de dispositivos móviles y el traspaso de información interna presentan un peligro latente para las organizaciones. "Hay ejecutivos con más privilegios de lo que requieren. Dado que la gente va cambiando de rol adentro de la organización, van acumulando accesos a información que no necesitan y que, eventualmente, pueden utilizar de forma indebida".
En esa línea, los expertos recomiendan chequear que los accesos de las personas sean congruentes con los roles que están desempeñando.
Según el socio de Tecnología de Ernst & Young, Andrés Acuña, el 55% de los defraudadores están en cargos gerenciales y, en esa línea, lo que hay que hacer es "implementar todas las medidas que permiten restringir el acceso a sistemas operativos, bases de datos, redes y comunicaciones".
Laptop en peligro
Tal como advierte un estudio de la compañía informática Trend Micro, basta con dar un vistazo somero al uso descuidado que los ejecutivos locales hacen de sus propios ordenadores personales para intuir que el término "confidencial" todavía no entra en uso; 57% de los crímenes corporativos tienen que ver con laptops robados o perdidos, y el 78% de los incidentes involucran a los ejecutivos y ex ejecutivos y no a cybercriminales.
Según el Country Manager de la firma, Felipe Araya, los bancos locales son los que operan con mayores grados de confidencialidad no sólo porque han sido pioneros en definir políticas de información relevante, sino también porque disponen de sistemas de seguridad más avanzados.
"En general, tienen mecanismos más sofisticados para pesquisar lo que está saliendo y entrando. Lo que suelen hacer es compartimentar la información y cuentan con dispositivos que no dejan que los datos salgan de la compañía, ni por correo ni por pendrive. Ni siquiera permiten copiar información. Tienen sistemas para identificar documentos y pesquisarlos".
Cifras de las policías y compañías de seguros muestran que, del total de computadores y dispositivos informáticos que se sustraen en Santiago, en el 5% de los casos el objetivo es la obtención de información sensible.
Propiedad
Junto con la explosión de nuevos casos de robo de información, tanto las corporaciones públicas como privadas comenzaron a implementar sus primeros sistemas de seguridad.
El problema es que, junto con ese mayor celo corporativo, surgieron las primeras demandas de parte de empleados que sintieron que algunas disposiciones atentaban contra sus derechos de propiedad intelectual. Y es que para algunos, el fruto del trabajo intelectual pertenece al empleado y, bajo ese predicamento, la línea que separa el robo del uso legítimo que se hace de la información (para otro empleador) se hace difuso.
Renato Jijena, experto en derecho informático, está convencido de que, en estas materias, la legislación sí se pone del lado del empleador. El artículo 8 de la Ley de Propiedad Intelectual es taxativo en que todo lo que hace bajo relación de subordinación es de propiedad del empleador, salvo en el caso de los desarrolladores de software.
Pese a ese dato, Jijena sugiere definir perfiles de usuarios diferenciados para evitarse líos. "Con mi perfil, no puedo acceder a información relevante, los cargos superiores sí. Y, obviamente, si tengo un perfil de usuario mayor, asumo responsabilidades y castigos mayores".
Mi clave por un chocolate
Las contraseñas son muchísimo menos seguras de lo que muchos imaginan, y no por un problema tecnológico, sino de las personas.
Una encuesta callejera realizada en Inglaterra por la Conference Infosecurity reveló que el 71% de los empleados de oficina están dispuestos a mostrar su password a cambio de un chocolate. La mayoría dijo también que si se cambiaran de trabajo, se llevarían información confidencial con ellos. Peor aún, aproximadamente el 37% de los encuestados reveló su contraseña de inmediato, y de los que se negaron, otro 34% lo hizo cuando se les desafió en la calle a demostrar que su password no era igual a su nombre o al nombre de su hijo o de su mascota.
"Los tradicionales mecanismos de seguridad corporativa resultan impotentes frente a las nuevas modalidades de espionaje industrial".
Algunas pautas de seguridad corporativa
Las personas requieren ser monitoreadas de manera continua. Cuando se contratan, se hace un perfil psicológico y se pesquisan sus deudas. El problema es que ese monitoreo no se sigue en el tiempo y los niveles de riesgo pueden cambiar.
Se sugiere chequear que los accesos de los ejecutivos sean congruentes con los roles que están desempeñando. Deben tener acceso sólo a la información pertinente para su puesto.
Algunos expertos sugieren establecer un plazo mínimo de dos meses entre la renuncia del ejecutivo y su salida efectiva. Durante ese período, se desligan de sus funciones sensibles.
http://img381.imageshack.us/img381/3676/imagenlm9.jpg (http://imageshack.us)
La utilización de dispositivos móviles y el acceso liberado a toda la información de la compañía -sin claves diferenciadas- presentan un peligro latente para las organizaciones.
Según recuerda un reporte de Financial Times, 17 ejecutivos de varias firmas informáticas, entre otras de Hitachi, fueron descubiertos por el FBI cuando se disponían a comprar material robado a IBM allá por 1986.
Otro artículo publicado por The New York Times a mediados de 1998 dio cuenta de una investigación que llevaba a cabo la justicia norteamericana contra una subsidiaria de Reuters por supuesto espionaje industrial contra su principal competidor, Bloomberg.
Y sin ir tan lejos, a fines de 2007 explotó el escándalo y el pánico entre los posibles afectados luego que un ex ejecutivo de Transbank robara una base de datos. En su declaración, el imputado presumió que "es perfectamente vulnerable (sic) obtener esa información". Simplemente, había que conseguir las llaves que le permitían desencriptar los códigos...
Y es que varios de los tradicionales mecanismos de seguridad corporativa resultan impotentes frente a las nuevas modalidades de espionaje industrial.
Los trituradores de papeles, por ejemplo, que usaban las grandes compañías para evitar que la competencia hurgara en su basura se convierten en piezas de museo. Lo mismo ocurre con los tradicionales códigos de buena conducta...
Ahora, las organizaciones simplemente desconfían de todos. Uno de los casos llamativos lo presenta el propio Banco Central, que estableció un plazo mínimo de dos meses entre la renuncia de un ejecutivo clave y su salida efectiva.
Durante este período, los profesionales en transición se desligan de sus funciones sensibles y, en consecuencia, dejan de acceder a información reservada. La idea es que transcurra un plazo prudente, de modo que no se presenten conflictos de interés entre manejar información relevante del instituto emisor y luego pasar al sector privado.
Enemigo
Lo más preocupante de todo es que más de la mitad de los ataques provienen de adentro de la propia organización. Según Óscar Bize, socio del área de Riesgos de Deloitte, "los consultores creemos que es incluso un porcentaje mayor, pues en general las empresas no están dispuestas a decir que tienen problemas de seguridad".
Las principales falencias -dice- están dadas por los hábitos de los propios ejecutivos. La utilización de dispositivos móviles y el traspaso de información interna presentan un peligro latente para las organizaciones. "Hay ejecutivos con más privilegios de lo que requieren. Dado que la gente va cambiando de rol adentro de la organización, van acumulando accesos a información que no necesitan y que, eventualmente, pueden utilizar de forma indebida".
En esa línea, los expertos recomiendan chequear que los accesos de las personas sean congruentes con los roles que están desempeñando.
Según el socio de Tecnología de Ernst & Young, Andrés Acuña, el 55% de los defraudadores están en cargos gerenciales y, en esa línea, lo que hay que hacer es "implementar todas las medidas que permiten restringir el acceso a sistemas operativos, bases de datos, redes y comunicaciones".
Laptop en peligro
Tal como advierte un estudio de la compañía informática Trend Micro, basta con dar un vistazo somero al uso descuidado que los ejecutivos locales hacen de sus propios ordenadores personales para intuir que el término "confidencial" todavía no entra en uso; 57% de los crímenes corporativos tienen que ver con laptops robados o perdidos, y el 78% de los incidentes involucran a los ejecutivos y ex ejecutivos y no a cybercriminales.
Según el Country Manager de la firma, Felipe Araya, los bancos locales son los que operan con mayores grados de confidencialidad no sólo porque han sido pioneros en definir políticas de información relevante, sino también porque disponen de sistemas de seguridad más avanzados.
"En general, tienen mecanismos más sofisticados para pesquisar lo que está saliendo y entrando. Lo que suelen hacer es compartimentar la información y cuentan con dispositivos que no dejan que los datos salgan de la compañía, ni por correo ni por pendrive. Ni siquiera permiten copiar información. Tienen sistemas para identificar documentos y pesquisarlos".
Cifras de las policías y compañías de seguros muestran que, del total de computadores y dispositivos informáticos que se sustraen en Santiago, en el 5% de los casos el objetivo es la obtención de información sensible.
Propiedad
Junto con la explosión de nuevos casos de robo de información, tanto las corporaciones públicas como privadas comenzaron a implementar sus primeros sistemas de seguridad.
El problema es que, junto con ese mayor celo corporativo, surgieron las primeras demandas de parte de empleados que sintieron que algunas disposiciones atentaban contra sus derechos de propiedad intelectual. Y es que para algunos, el fruto del trabajo intelectual pertenece al empleado y, bajo ese predicamento, la línea que separa el robo del uso legítimo que se hace de la información (para otro empleador) se hace difuso.
Renato Jijena, experto en derecho informático, está convencido de que, en estas materias, la legislación sí se pone del lado del empleador. El artículo 8 de la Ley de Propiedad Intelectual es taxativo en que todo lo que hace bajo relación de subordinación es de propiedad del empleador, salvo en el caso de los desarrolladores de software.
Pese a ese dato, Jijena sugiere definir perfiles de usuarios diferenciados para evitarse líos. "Con mi perfil, no puedo acceder a información relevante, los cargos superiores sí. Y, obviamente, si tengo un perfil de usuario mayor, asumo responsabilidades y castigos mayores".
Mi clave por un chocolate
Las contraseñas son muchísimo menos seguras de lo que muchos imaginan, y no por un problema tecnológico, sino de las personas.
Una encuesta callejera realizada en Inglaterra por la Conference Infosecurity reveló que el 71% de los empleados de oficina están dispuestos a mostrar su password a cambio de un chocolate. La mayoría dijo también que si se cambiaran de trabajo, se llevarían información confidencial con ellos. Peor aún, aproximadamente el 37% de los encuestados reveló su contraseña de inmediato, y de los que se negaron, otro 34% lo hizo cuando se les desafió en la calle a demostrar que su password no era igual a su nombre o al nombre de su hijo o de su mascota.
"Los tradicionales mecanismos de seguridad corporativa resultan impotentes frente a las nuevas modalidades de espionaje industrial".
Algunas pautas de seguridad corporativa
Las personas requieren ser monitoreadas de manera continua. Cuando se contratan, se hace un perfil psicológico y se pesquisan sus deudas. El problema es que ese monitoreo no se sigue en el tiempo y los niveles de riesgo pueden cambiar.
Se sugiere chequear que los accesos de los ejecutivos sean congruentes con los roles que están desempeñando. Deben tener acceso sólo a la información pertinente para su puesto.
Algunos expertos sugieren establecer un plazo mínimo de dos meses entre la renuncia del ejecutivo y su salida efectiva. Durante ese período, se desligan de sus funciones sensibles.