Cómo evitar el robo de información clave de una empresa

agosto 27, 2013 § Deja un comentario

Los casos del soldado Bradley Manning, quien realizó la mayor filtración de documentos militares secretos en la historia de los Estados Unidos, y de Edward Snowden, quien reveló cómo la Casa Blanca y sus organismos espían las comunicaciones en Internet, constituyen los ejemplos más famosos de fuga de información de una organización a través de soportes tecnológicos.

Mientras Manning, condenado el 21 de agosto a 35 años de prisión, realizó la filtración a través de discos compactos, Snowden, asilado político en Rusia, filtró documentos sobre las prácticas de espionaje del Gobierno empleando unidades de memoria USB (“pendrives”).

Sin embargo, las principales fugas de información en las organizaciones gubernamentales, empresarias y educativas en la Argentina no son por acción de un empleado o ejecutivo infiel o por el ataque de un delincuente informático sino por “desconocimiento y negligencia” de los propios directivos y dependientes, según aseguró a iProfesional Cristian Borghello, Director de Segu-Info.

Este especialista advirtió que en las empresas impera “un nivel de inconsciencia alto sobre la información que manejan y sobre su jerarquización y criticidad”.

“No saben lo que tienen y, por lo tanto, no saben lo que hay que proteger, y se desconoce también la información privada de sus usuarios, en especial en cuanto a su salud y sus finanzas”, alertó.

“Gran parte se fuga por los empleados, pero sin que ellos se den cuenta o lo sepan. Por ejemplo, el correo electrónico sin cifrar, o el envío de un correo a una dirección equivocada o el almacenamiento de archivos en servicios basados en la nube, como Dropbox”, explicó.

Luego de las fugas por negligencia o desconocimiento, siguen las que se producen por “ataques internos”, como se define en la jerga, de empleados infieles, que actúan motivados por diferentes intereses: represalia, venganza, conciencia cívica, robo de información y otros motivos económicos.

Al final, y en mucha menor medida que las dos anteriores, se encuentran los delincuentes informáticos.

¿Por qué se difunde entonces tanto la idea del ataque externo a la organización, como el que sucedió este mes -según denunció el Gobierno nacional- a la cuenta de Twitter de la Casa Rosada? “Muchas organizaciones atacadas niegan el incidente y cuando lo admiten, prefieren adjudicarlo a alguien externo”, dijo Borghello.

MediosLa información crítica de una empresa puede salir por varios medios. Además de los discos compactos y DVD y “pendrives” empleados por Manning y Snowden, existen otras vías.

Por ejemplo, los e-mails que se envían los empleados a cuentas propias de correo, con archivos adjuntos valiosos como planillas de cálculo, planes de negocio, prototipos, etc.

Ariel Bruch y Rodolfo Dietz, de la firma de seguridad informática canadiense Messaging Architecs, pusieron la mira en el correo electrónico, la aplicación más utilizada en Internet, basada desde hace 40 años en el mismo protocolo de la red, por su facilidad y universalidad para implementar, además de soportar archivos adjuntos.

Para estos dos ejecutivos, el “e-mail está roto” por el “crecimiento de almacenamiento sin control”, con una “gestión de infraestructura desordenada” y un aumento en los robos y la preocupación sobre su privacidad.

Bruch y Dietz señalaron, por ejemplo, que el 40 por ciento de los archivos adjuntos en un e-mail poseen virus.

El otro principal medio, además del e-mail, es el almacenamiento de archivos en la nube, en servicios como Dropbox o el desaparecido Megaupload.

Sin embargo, el perímetro de la compañía no está dado sólo por sus paredes y puertas, sino que también cuentan los teléfonos móviles inteligentes y las tabletas que trabajan e interactúan con los sistemas de la empresa desde cualquier punto del mundo, conectados a Internet.

Esta extensión de la frontera se amplía por la tendencia de “traiga su propio dispositivo” (BYOD, sigla en inglés), donde los ejecutivos y empleados reclaman utilizar sus propios “smartphones” o tabletas con los sistemas de la empresa.

“No se usan contraseñas ni se cifra la información” que está en los teléfonos y tabletas, advirtió Borghello.

Dan Molina, director para Mercados Emergentes de la empresa de seguridad informática Kaspersky, apuntó ante iProfesional que el foco también debe ponerse en los puntos de acceso a la nube y en los dispositivos móviles, cuyos usuarios “aún carecen de una cultura de la protección de los datos”, lo cual es aprovechado por los delincuentes informáticos, que aumentaron en el último tiempo en siete veces la cantidad de virus que apuntan al sistema operativo Android.

SolucionesBorghello propuso los siguientes pasos para reparar y cerrar los agujeros por donde se puede fugar la información.

Primero, establecer una política de gestión de la misma en la organización, que incluya su clasificación y jerarquización.

Segundo, definir una política de protección, viendo por dónde circula y sale y protegiendo esos archivos. Aquí se incluye el resguardo del almacenamiento y el transporte de esos datos.

En el mercado local se lanzaron en los últimos meses diferentes software que actúan en estos dos pasos descriptos por Borghello.

Fuente: iProfesional

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Cómo evitar el robo de información clave de una empresa en Seguridad Informática.

Meta

A %d blogueros les gusta esto: