Noticias ciencia y tecnologia computacion internet

La prevención del robo de datos por parte de los empleados

Por Michael O'Dwyer – Tech Page One

La mayor amenaza para la seguridad cibernética de una empresa puede ser un empleado malicioso o negligente. Cuando se trata de la seguridad cibernética, las empresas tienen mucho de qué preocuparse: los piratas informáticos, las pandillas delictivas, los gobiernos e incluso sus propios empleados.

Una infografía de GO-Gulf.com que combina los resultados de varios estudios, muestra que el 39 por ciento del robo de datos de empresas proviene de expertos de la misma compañía. Aún más preocupante, el 59 por ciento de los ex empleados admiten que robaron datos de sus ex empleadores.

La prevención de este tipo de trabajos desde el interior es difícil, sobre todo porque los trabajadores tienen acceso a los dispositivos personales y a la nube, así como a los dispositivos de almacenamiento de colaboración y portátiles.

Lo único que se necesita es un empleado negligente o malicioso para comprometer la seguridad de la empresa, dice William O'Brien, director de operaciones de Brainloop, un proveedor con sede en Cambridge, Massachusetts, de los servicios de transferencia de archivos seguros para medianas y grandes empresas.

O'Brien citó un caso en el que la información sobre 74,000 empleados de Coca-Cola se vio comprometida debido al robo de un ex empleado.

Hackers exteriores

El robo por personas ajenas sigue siendo la mayor amenaza, por supuesto, y tiende a ser mucho más costoso, sobre todo para la reputación de una empresa.

O'Brien citó la reciente violación de objetivos de hackers, que afectó millones de datos financieros de compradores navideños.

Una empresa debe estar siempre buscando nuevas formas de lidiar con este tipo de amenazas, dice O'Brien. "Las políticas de seguridad deben evolucionar a medida que se producen nuevos ataques", añade. En muchos casos, el objetivo son los datos del cliente, no la propia empresa.

"Nuestras mayores amenazas provienen, no de la piratería en nuestra infraestructura de TI, sino de individuos que hackean servidores de bases de datos de nuestros clientes, obteniendo la información del usuario, haciéndose pasar por usuarios/miembros y tratando de mover fondos a otra cuenta a través retiros de métodos instantáneos o de siguientes días”, dice Dima Polyakov, directora de tecnología de I-Payout, un proveedor en Ballandale Beach, Florida, basado en los sistemas globales de pago digitales.

Experiencia de aprendizaje

Después de que un ataque ha tenido lugar, las empresas deben aprender de la experiencia, dice Lawrence Freedman, socio de Edwards Wildman Palmer LLP, un proveedor global de asesoría legal para las empresas.

Las amenazas cibernéticas, dice, "en gran parte consisten en (a) la piratería intencional por personas ajenas que buscan ganancia pecuniaria o simplemente hacer travesuras y (b) los errores desde una perspectiva humana o técnica por parte de la organización que posee los datos".

Afortunadamente, hay maneras de limitar los ataques internos y externos.

Por una parte, los permisos para acceder a los datos no deben ser almacenados localmente por un usuario, ya sea en estaciones de trabajo o en dispositivos personales.

O'Brien, de Brainloop, recomienda que los permisos sean asignados de acuerdo al nivel de los empleados.

“La creación de un espacio de trabajo virtual o entorno seguro es esencial para que los datos nunca dejen esa área", dice. "Esto se extiende a las comunicaciones por correo electrónico, donde los documento adjuntos son meramente un vínculo con el área de seguridad, en lugar de incluir el documento actual”. Polyakov de I-Payout está de acuerdo.

"Para las amenazas internas (empleados): Como parte de la certificación de que tenemos una serie de reglas estrictas para que puedan acceder a nuestro centro y servidores de datos en caso de acceder de forma remota a través de VPN”, dice. "En caso de amenazas externas tenemos un apagafuegos con reglas ajustadas y mecanismos para encerrar huéspedes ofensivos y prevenir los ataques de denegación de servicio".

Implicaciones legales

Además de la seguridad de datos y encriptación, las empresas también deben entender las implicaciones legales.

"En primer lugar, todos los medios técnicos se deben utilizar para asegurar y cifrar los datos apropiados", dice Freedman, de Edwards Wildman Palmer. "Este es un acto de equilibrio con base a la naturaleza de los datos, el riesgo de amenaza y las expectativas de la industria".

"En segundo lugar, las restricciones legales en la forma de la evolución de la jurisprudencia y una miríada de leyes y reglamentos en los estados, Estados Unidos e internacionalmente, imponen una variedad de procedimientos no técnicos y protocolos para asegurar la seguridad de los datos", añade.

Freedman recomienda a las empresas asegurarse de que todas las infracciones se documenten con precisión "para conservar un registro por escrito en caso de cualquier escrutinio regulatorio o legal a futuro, que muestre que la empresa actuó de manera responsable".

Nunca almacene de forma remota

O'Brien utiliza un espacio de trabajo colaborativo al que se accede de forma remota. Los datos de la compañía no obstante, dice, nunca se almacenan de forma remota, pero sí en un almacenamiento de red segura.

"Sin embargo, para las empresas que consideran un entorno de colaboración con acceso perfecto (con ancho de banda y latencia adecuada) es necesario, o de lo contrario los usuarios utilizarán sus discos duros y tarjetas de memoria para el transporte de datos", dice.

Este enfoque puede eliminar con eficacia las amenazas procedentes de fuentes internas y externas.

¿Qué deben hacer las empresas después de un ataque?

"Descubrir por qué sucedió, aplicar un parche, aprender de la experiencia y mirar hacia el futuro para ver lo que podría suceder y cómo prevenirlo hoy", dice Polyakov. "Muchas empresas ni siquiera piensan en conseguir la certificación, como por ejemplo, obtener el cumplimiento de PCI. ¡Gran error! Cada certificación te prepara para un evento que podría costar mucho si usted no está listo. La contratación de profesionales en TI experimentados y certificados puede hacer una gran diferencia en evitar desastres".

El Estándar de Seguridad de Datos PCI es recomendado para todas las empresas que aceptan tarjetas de crédito e incluye especificaciones para el almacenamiento de los datos financieros.

No importa el desafío, Dell cuenta con la tecnología necesaria. Conozca algunos casos de estudio. 

Deja un comentario