Las Empresas no sólo deben ocuparse de los hackers: el enemigo está adentro


Qué es lo que le quita el sueño al encargado de seguridad informática de su empresa? Usted!!!. Si uno le pregunta a la gente sobre seguridad, lo primero en lo que piensa la mayoría es en un hacker de fuera de la empresa. Sin embargo, los trabajadores suponen un riesgo al menos igual de grande para los sistemas de una compañía y los valiosos datos que contienen.





Los empleados pueden robar secretos comerciales o vender registros financieros de clientes o mirar a escondidas el correo electrónico de sus jefes. O sencillamente pueden ser descuidados, no asegurar sus laptops o enviar información confidencial en un correo electrónico no codificado que cualquiera puede leer.

En otras palabras, los miembros de la empresa son un problema precisamente porque se confía en ellos lo suficiente como para dejarlos entrar. "Usted les ha dado las llaves del castillo", dice Scott Charney, director general de estrategia de seguridad de Microsoft Corp. "Cuanto más importantes son para la organización, más acceso tienen".

¿Qué pueden hacer las empresas para atajar el problema? Estas son algunas recomendaciones de los expertos de seguridad para resolver las dificultades de seguridad que plantean los empleados conflictivos.

Conozca sus riesgos

Puede parecer obvio, pero lo primero que debe hacer una compañía es comprender dónde y cuándo exactamente puede ser vulnerable a los delitos o errores de sus empleados. Los gestores de riesgo tienen una fórmula sencilla para ayudar a contestar esta pregunta. Primero, haga una lista de todas las amenazas probables. Entonces evalúe las probabilidades de que se lleven a cabo. Por último, calcule el daño posible en caso de que sucedan.

Conozca a sus empleados

El mejor momento para acabar con los empleados potencialmente peligrosos es antes de contratarlos. Los expertos en seguridad recomiendan comprobar los antecedentes al contratar para puestos susceptibles, como la gente que gestiona los sistemas de computación de una compañía o cualquiera que trabaje en seguridad de computadoras.

Tomemos en cuenta las instituciones financieras, en las que incluso los empleados de niveles más bajos pueden tener acceso a información valiosa sobre los clientes y causar grandes pérdidas. Un sondeo realizado en 2004 sobre 23 incidentes de uso inadecuado de los sistemas de computación por parte de los empleados determinó que la cuarta parte de los empleados implicados tenía antecedentes delictivos.

Los expertos de seguridad señalan, además, que la mayoría de los problemas con los empleados no son malintencionados. Algunos empleados ponen datos médicos confidenciales en un correo electrónico porque no saben que no es seguro, dejan sus computadoras desatendidas o escriben contraseñas en notas adhesivas que esconden bajo el teclado.

Limite el acceso

Los expertos en seguridad lo llaman "el principio del menor privilegio": tras dividir la información en más (y menos seguras) clasificaciones, las compañías necesitan limitar el acceso a dicha información. Por ejemplo, en la consulta de un médico, los médicos y las enfermeras necesitan ver el historial clínico de los pacientes, pero no necesitan ver sus números de identificación.

Los administradores de sistemas informáticos son un caso especial, ya que su trabajo les proporciona acceso a toda la red de computadoras de la compañía. Sin embargo, existen maneras de minimizar los daños posibles. Para empezar, las compañías deberían exigir que todos los administradores se conecten a los sistemas usando su propio nombre, y no las habituales cuentas universales y anónimas "admin".

Use la codificación

La práctica de codificar sus datos de modo que sólo puedan ser interpretados por un decodificador se usa cuando gente con distintos derechos de acceso debe usar la misma información en una base de datos. Así, una compañía puede almacenar de manera segura un número de identificación de un cliente y sólo revelar los cuatro últimos dígitos en la pantalla de un representante de atención al cliente.

En última instancia, se trata de asegurarse de que los empleados conozcan las normas y de que sean ellos los responsables si no se cumplen.

En Holanda, BT Global Services ha probado un sistema de multas tomado del fútbol para asegurarse que sus empleados no dejen sus laptops en sus escritorios. Por la primera falta, seguridad le retirará la computadora y dejará una tarjeta amarilla con una advertencia y diciendo que la laptop puede recuperarse en el departamento de seguridad. La segunda vez que se produce una infracción, el empleado recibe una tarjeta roja y tiene que acudir a su jefe para recuperar la laptop.

Enlace

http://online.wsj.com/public/article/SB114004792825675269.html?mod=spanish_whats_news

Fuente:
Michael Totty
The Wall Street Journal

rebelion.org



Otras noticias de interés:

Canadá: la industria quiere legalizar el spyware
El grupo que representantes de la industria del entretenimiento en Canadá busca consenso para legalizar el uso de spyware. Una fórmula donde el fin justifica los medios, los usuarios podrían ser espiados anteponiendo la lucha contra la piratería....
Adobe más seguridad en Flash Player 10.3
Adobe Flash Player 10.3, que incorpora herramientas de desarrollo además de mejoras en la privacidad del software....
AV Comparatives analizo efectividad de los antivirus mas populares frente al malware
La compañía AV Comparatives, analizó la eficacia de diferentes antivirus frente a los últimos malware de la web, enfrentando a 19 de los antivirus más populares que existen, contra un poco más de 1.2 millones de programas contentivos de softwar...
Otra más -- Nueva vulnerabilidad en Sendmail
Se anuncia una nueva vulnerabilidad en Sendmail, presente en todas las versiones anteriores a la 8.12.8 (inclusive). Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en Internet, con una cuota de bastante más del 50% de los servidor...
El sistema CAPTCHA de Microsoft, hackeado
Un bot desarrollado por spammers ha logrado saltarse la protección del método de autenticación de Microsoft para crear cuentas en Windows Live Mail, algo que no debería pasar en una tecnología que teóricamente está diseñada para diferenciar a...
DoS en Microsoft Windows GDI Client DLL (GDI32.DLL)
Una vulnerabilidad ha sido identificada en Microsoft Windows, la cuál puede ser explotada por atacantes remotos para provocar una denegación de servicio (DoS)....
Su empresa, ¿acepta los riesgos de la IM?
Dos investigadores de Symantec, advirtieron este viernes en una conferencia de investigadores de antivirus y expertos corporativos de seguridad, organizada por Virus Bulletin en Toronto, Canadá, que los nuevos gusanos que explotan las vulnerabilidad...
Ejecución local con privilegios de System en Kerio
Menú de Administración en Kerio Firewall permite a usuarios locales ejecutar aplicaciones con privilegios de SYSTEM. Johan Tuneld reporta una vulnerabilidad en Kerio Personal Firewall versión 2.x. Un usuario local puede ejecutar comandos c...
Cambio del Huso horario en Venezuela
Mediante el sistema internacional, se dividió el planeta en franjas de 15 grados de ancho. Los 360 grados de toda la circunferencia de la Tierra quedan divididos en 24 franjas, correspondiendo una hora a cada una de ellas. Por tanto, cada huso tiene...
Vulnerabilidad de tratamiento de archivos PS/PDF en KDE
Se ha anunciado la existencia de una vulnerabilidad en KDE por el procesamiento realizado por Ghostscript para la visualización de archivos PostScript (PS) y PDF de forma que puede llegar a permitir a un atacante la ejecución de comandos arbitrario...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adentro
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • deben
  • debian
  • empresas
  • enemigo
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hackers
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • ocuparse
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra