20% del personal de TI ha accedido a datos sin autorización

Los profesionales de TI gozan de cierta libertad para deambular por las redes corporativas sin restricciones, según un estudio a más de 450 profesionales TI realizado por la firma de seguridad Lieberman Software, que ha detectado que el 39% del personal TI accede sin autorización a la información más sensible de su organización, incluyendo documentos privados del consejero delegado, y que uno de cada cinco ya ha accedido a datos que no debía.
 
Como profesionales de las TI, el 68% cree que tienen más acceso a información sensible que compañeros de otros departamentos, como Recursos Humanos, finanzas y el propio equipo directivo, dejando las puertas abiertas para que se produzcan brechas de datos desde el interior.
 
El estudio ha encontrado que, si pensaran que su trabajo está en riesgo, el 11% de los consultados abusaría de sus derechos de administrador para buscar en la red la lista de despidos u otra información sensible. Y si les despidieran al día siguiente, el 11% asegura que estaría en posición de llevarse información confidencial. Casi un tercio de los mismos afirma que sus equipos de gestión no sabrían cómo frenar esto.
 
Según Philip Lieberman, CEO de Lieberman Software, la realidad es que se abusa de los elevados privilegios de las credenciales de cuentas. El equipo de administración debe reforzar y establecer sistemas y procedimientos para bloquear los datos a ojos ajenos, o sus secretos seguirán siendo robados bajo sus mismas narices. El experto asegura que las organizaciones pueden controlar los accesos a cuentas privilegiadas y reducir las amenazas internas con un proceso de cuatro pasos:
 
* Identificar y documentar los activos de TI críticos, sus cuentas privilegiadas y sus interdependencias
 
* Delegar acceso a las cuentas privilegiadas solo al personal apropiado, utilizando el último privilegio requerido para logarse en los activos TI.
 
* Aplicar normas para la complejidad de las contraseñas, diversificarlas y cambiarlas con frecuencia, y sincronizar los cambios entre todas las dependencias.
 
*Documentar el solicitante, propósito y duración de cada petición de acceso privilegiado
 
– Computerworld UK