Los empleados siguen siendo un obstáculo para la seguridad

Los empleados odian los procesos de seguridad. Por supuesto, esto no es algo que no supiéramos. El software antivirus ralentiza sus máquinas y recordar miles de contraseñas es una molestia. El software de VPN, a menudo, es complicado y la mayoría de los procesos de seguridad que exigimos a los empleados parece lo contrario a facilitar su trabajo. Al menos, así lo ve la mayoría de ellos.

Algo que no debería sorprender a nadie, acaba de quedar constatado en una reciente encuesta de la firma de seguridad Biscom que certifica que a los empleados no les gustan las políticas de seguridad.

Más de 600 profesionales, desde socios hasta altos ejecutivos de empresas estadounidenses, participaron en esta muestra que tuvo en cuenta sectores fuertemente regulados, como los servicios sanitarios o financieros.

En general, los encuestados creen que sus empresas disponen de formas seguras de enviar y compartir información, pero los resultados muestran que no parecen interesarse en ellos. Por ejemplo, el 95% de los participantes suraya que su organización dispone de herramientas para proteger la información, el 85% asegura que existen políticas para compartir información y el 88% reconoce que su empresa incluso forma a los empleados para que compartan información de forma segura.

Un 78% de los consultados entiende y está de acuerdo con las políticas de seguridad de su organización. Es un buen comienzo, pero a partir de aquí las cosas se complican. La mayoría de los participantes (el 74%) reconoce compartir información insegura con sus colegas y otras personas ajenas a la organización (un 60%).

¿Por qué se comportan de esta manera? Cuando no siguen las políticas o herramientas de seguridad es por la molestia que éstas le causan. Los encuestados mencionaron la complejidad, como la razón principal por la que evitan usar herramientas de seguridad y cumplir las políticas corporativas.

Hay un viejo dicho en seguridad que reza que la conveniencia prevalece sobre la seguridad. Estos resultados muestran que eso es muy cierto. La conclusión para los profesionales de la seguridad es que las políticas de seguridad deben integrarse en el día a día del empleado o es muy probable que se ignoren y se den por perdidas.

En ese caso, veremos cómo se intercambian datos no estructurados de forma insegura: documentos de Word, presentaciones, hojas Excel, datos financieros y archivos multimedia que pueden contener información altamente sensible y confidencial. De hecho, el 49% de los encuestados admite compartir información altamente regulada de forma insegura, como datos médicos o financieros. Otros tipos de información compartidas incorrectamente incluyen documentos de estrategia o presentaciones (un 35%) y propiedad intelectual, como el código fuente o las solicitudes de patente (el 29%).

¿Cómo aumentar la seguridad?

Supervisión. La encuesta revela que el 80% de los participantes cambiaría su comportamiento, si el departamento de TI monitorizara su actividad en tiempo real y si se le notificaran las actividades sospechosas.

Ésa es, ciertamente, una manera de hacerlo. Supervisar, o intentar controlar, cada clic de cada miembro del personal y usuario final. O bien, las organizaciones pueden generar flujos de trabajo seguros y formas para que todos colaboren dentro de las políticas de seguridad.

Sé cuál de estos dos modelos elegiría.

George V. Hulme es un escritor de seguridad de la información y tecnología de negocios reconocido internacionalmente.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: