Los empleados son la principal amenaza de
incidentes de seguridad para una organización. La solución puede ser cumplir
con la norma ISO 27001, el estándar internacional emitido por la Organización
Internacional de Normalización (ISO), que establece las mejores prácticas para
la gestión de seguridad de la información.
De
acuerdo con la empresa de seguridad empresarial Blue Coat Systems, basta con un
descuido humano y la infraestructura de seguridad de una organización no será
un escudo suficiente para detener un ataque virtual.
De
acuerdo con el reciente estudio del Grupo de Usuarios Independientes de
Oracle, el 81% de los trabajadores
considera que el error humano constituye el mayor riesgo en el manejo de los
datos empresariales, seguido por el temor a los ataques internos (65%). También
en un 54% preocupa el abuso de los privilegios de acceso por parte del personal
de las Tecnologías de la Información y en un 53% los códigos maliciosos o
virus.
A pesar
de los descuidos personales, muchos de los encuestados indicaron que aplican
relativamente pocas protecciones para prevenir el abuso accidental o
intencional del empleado.
Además,
los resultados de esta encuesta destacan que las empresas son muy débiles en
los controles preventivos, de detección y administrativos, incluso los
controles internos de uso privilegiado son limitados, carentes del conocimiento
de donde radica la sensibilidad de los datos así como de un monitoreo
inadecuado de la actividad de los usuarios privilegiados.
Por su
parte, la última encuesta realizada por IT Governance entre altos ejecutivos
coincide en señalar que el 54% de los entrevistados opina que sus propios
empleados representan la principal amenaza de seguridad, frente a 27% que opina
que los hackers son el principal riesgo, 12% que culpa a los ataques dirigidos,
y 8% a sus rivales corporativos. Por otro lado, las compañías no ignoran los
riesgos, ya que 77% de los directivos asegura que sus organizaciones cuentan
con un método para la detección y
notificación de los ataques o incidentes.
Los
atacantes externos y la constante evolución de sus métodos y acciones
representan una gran amenaza para las compañías, pero los peligros asociados
con las amenazas internas pueden ser igualmente destructivos y traicioneros. De
acuerdo con Ponemon Institute, el comportamiento de los empleados es uno de los
problemas que más afectan a las organizaciones actualmente, esto se ha
incrementado en un 22% desde que realizó el primer estudio sobre fuga de datos.
Por
ello, Blue Coat recomienda a las empresas cumplir con la norma ISO 27001, el
estándar internacional emitido por la Organización Internacional de
Normalización (ISO), que establece las mejores prácticas para la gestión de
seguridad de la información. Entre sus diversas disposiciones, ésta hace
referencia a la seguridad ligada a los recursos humanos, que debería enfocarse
desde la definición de las funciones y los recursos hasta la finalización de la
relación laboral, incluyendo la seguridad en el desarrollo de las funciones de
los empleados.
También
se asegura que todo el recurso humano (empleados, contratistas y terceros)
vinculados con la empresa entiendan sus responsabilidades y estén en las
condiciones para desarrollarlos; de esta forma se pueden reducir riesgos de
fraude y uso inadecuado de los activos de información de la empresa. La norma
ISO 27001 puede ser implementada en cualquier tipo de organización, con y sin
fines de lucro, privada o pública, pequeña o grande.
Fuente:
Diarioti.com