feb
8
Written by:
Blogger
08/02/2011 21:08
Por Andrés Morales, consultor Ximark Perú.
Los especialistas en seguridad informática hemos advertido por años la creciente amenaza de los trabajadores disgustados, las pobres políticas de seguridad que permiten el acceso a información clasificada y la falta de conciencia de seguridad entre los trabajadores de las diversas instituciones. Es de conocimiento público que el portal Wikileaks está publicando comunicaciones gubernamentales clasificadas (muchas de ellas secretas), y podrían también revelar información secreta de las instituciones más poderosas.
Wikileaks no sólo presume de tener información clasificada de organismos gubernamentales, también se presume que posee documentos de un banco americano de gran importancia, demostrando que todos los organismos (públicos y privados) son susceptibles a ataques de trabajadores desleales, debido a una débil seguridad de la información.
Las patentes, “know how”, secretos industriales, correos electrónicos, información, bases de datos e intranets, corren riesgo que atentan contra la confidencialidad, integridad y disponibilidad de la información, al caer en manos de adversarios o competencia desleal.
Empleando controles de seguridad informática es posible limitar en cada organización quien tendrá acceso a algún tipo de información, ya sea por su clasificación o categorización, pero muchas de estas organizaciones son descuidadas en la configuración, permitiendo que de forma intencionada o no intencionada, se cometan errores o abuso del acceso a la información clasificada.
Aún si los controles de seguridad informática son eficaces, realmente no se puede detener a una persona dispuesta a causar daño a la organización, teniendo acceso legítimo a los sistemas de información. Inclusive si se bloquean periféricos como los puertos usb, impresoras, cd o dvds o inclusive acceso a internet.
Teniendo los permisos necesarios, un medio magnético y el deseo de revancha, algún empleado desleal podría obtener y publicar la información clasificada de la organización.
Éstos empleados que deciden trabajar en contra de la organización lo realizan por venganza, dinero, exponer hipocresía o por una falta de conocimiento o conciencia de seguridad de la información.
Demostrando que ninguna organización está libre de riesgos de seguridad informática, y es necesario incrementar el nivel de conciencia de seguridad de todos los trabajadores, además se debe mejorar los controles de seguridad informática (firewalls, DLPs, IPS, filtro web, antivirus, antispam, etc.), reforzar las políticas de seguridad de la información y definir las sanciones para aquellos trabajadores que atenten contra los activos de información; también se deben simular ataques mediante pruebas de intrusión o análisis de vulnerabilidad periódicas, que permitan medir el nivel de seguridad instalado y probar los procedimientos de manejo de incidentes y recuperación frente a desastres de la organización.
¿Está su organización preparada para afrontar los retos de seguridad informática de hoy y mañana?