En esta ocasión contamos con la colaboración Manuel Arrevola quien nos hablará sobre los errores humanos y la pérdida de datos empresariales. Manuel Arrevola es un reconocido profesional del sector de la seguridad informática, con más de 15 años de experiencia y que en la actualidad ocupa el cargo de Director General de Sophos Iberia. Os dejamos con su artículo:
Errores humanos: cuando los descuidos amenazan la información empresarial
Los riesgos contra la seguridad de los datos son muchos y diversos. Por ello, hoy en día, los gerentes de negocios y responsables TI deben estar pendientes de los peligros y costes asociados a una posible pérdida de datos, además de contar con un plan para gestionar dichos riesgos. Al mismo tiempo, deben seguir cumpliendo con las normas de protección de datos y las regulaciones asociadas para asegurar todo lo anterior.
Sin embargo, estos profesionales deben cuidar también un aspecto que, aunque a priori, pueda parecer un problema menor, por desgracia es hoy una realidad tangible y de gran repercusión: el error humano, fallos que pueden hacer que los datos de las empresas se conviertan en vulnerables a la pérdida o robos.
A este respecto, el poeta inglés Alexander Pope escribió en 1711: «Errar es Humano», y, por desgracia, muchos de los episodios de pérdidas de datos que se producen hoy en día se deben precisamente a ello, a errores humanos. Un portátil que descansa en el asiento vacío de un avión o de un tren, una BlackBerry o un iPhone que caen de un bolsillo durante una cena, una llave USB olvidada en el stand de una feria… todos ellos, en apariencia, simples fallos de concentración que en una sociedad idílica no tendrían repercusión, pero que, por desgracia, en la nuestra, pueden tener consecuencias desastrosas. En este sentido, y aunque Pope también afirmó que «Perdonar es Divino», los profesionales de TI no puede permitirse el lujo de parafrasear en este contexto a este escritor, ni de ser en extremo indulgentes cuando se trata de salvaguardar información vital para las empresas.
Dispositivos portátiles, cuidado con los datos que viajan con nosotros
Un estudio realizado por el Instituto Ponemon, detalla que los lugares más comunes donde los empleados suelen perder sus ordenadores portátiles son los hoteles, aeropuertos y coches de alquiler, además de en ferias y conferencias. Los trabajadores, además, muestran a menudo descuido en la utilización de procedimientos de seguridad: uso inadecuado de mecanismos de autenticación o contraseñas, transferencia de archivos a dispositivos de memoria USB e imprudencia en la protección de sus portátiles cuando viajan.
Estas acciones, además de poner en serio peligro los datos confidenciales y sensibles de las empresas, pueden conllevar además, consecuencias muy negativas para la credibilidad de las organizaciones, como la pérdida de confianza de accionistas y clientes, daño a la imagen empresarial, interrupción del negocio, y acciones regulatorias, entre otras.
De igual manera, otros elementos como memorias USB, CDs y DVDs pueden suponer también un riesgo añadido para la red empresarial, al existir la posibilidad de que éstos contengan software no autorizado. Ejemplos de malware, como el gusano Conficker, se han convertido en un inconveniente importante, máxime cuando se conoce que este tipo de dispositivos pueden ayudar a difundirlo. Los usuarios también pueden copiar datos sensibles en ellos, que luego pueden perder o compartir con gente ajena. En este punto, los expertos recomiendan no desactivar la capacidad de seguridad de los dispositivos, y si los negocios dependen de los medios extraíbles, realizar un escaneado regular para defenderse contra el malware y cuidar los datos sensibles.
“Rectificar es de sabios…”
Por todo ello, los empleados deben ser conscientes de lo perjudicial que puede resultar la pérdida de un portátil, un dispositivo móvil o un soporte de almacenamiento, y aprender métodos sencillos para evitar el percance, además de conocer cuáles son los procedimientos adecuados para informar inmediatamente de un incidente de pérdida de datos.
En este punto, desde Gartner recomiendan el cifrado como método más efectivo para proteger los datos en los dispositivos móviles, mientras que para los ordenadores portátiles, indican específicamente el cifrado total de disco. «Realmente no hay excusa para no cifrar los portátiles», afirman desde la consultora, “y las empresas que piensan que es muy caro y complejo, demuestran tener una visión equivocada de la realidad”.
En definitiva, los controles automatizados pueden ayudar a minimizar el riesgo de error humano, ya que, aunque éstos no eliminan el factor humano por completo, sí pueden limitarlo, ayudando a preservar la seguridad. Ya lo dijo Pope, “Rectificar es de Sabios”, y cuando se trata de seguridad, mucho más aún.
Pablo Teijeira's blog 