Muchas compañías invierten recursos y despliegan un pequeño ejército para protegerse de las abundantes amenazas de seguridad que se encuentran en estos días. Pero todos esos esfuerzos pueden ser inútiles si se cometen los errores más comunes. Los resultados pueden variar de embarazosos a desastrosos, pero los expertos en seguridad afirman que pueden evitarse fácilmente.
Lo más sorprendente es que todos estos errores pueden prevenirse sin gastar un solo peso. Aquí presentamos los 10 problemas de seguridad más comunes y peligrosos.
1. Un error de dedo puede revelar el secreto de la compañía Algunos de los problemas de seguridad que prevalecen son resultado de pequeños hábitos tecnológicos que pueden evitarse fácilmente Por ejemplo, imagine cuánta pérdida de información se podría evitar si a los usuarios se les enseñara a desactivar la función “autocompletar” de Microsoft Outlook y otros sistemas de mensajería. “Cuando los empleados están creando sus mensajes de correo electrónico, sin darse cuenta seleccionan otros destinatarios. El empleado cree que envía un correo electrónico a Eric Amigable, pero en vez de eso, la función autocompletar lo envía a Eric Enemigo”, afirma Steve Roop, director de mercadotecnia y productos de Symantec. El simple hecho de desactivar algo como el autocompletar, podría evitar a los negocios muchos dolores de cabeza sin costo extra.
2. La gente da sus contraseñas y otros secretos sin pensarlo. Muchas veces, los usuarios internos de una empresa (y no los externos) son los responsables de hacer públicas las contraseñas e información personal que facilita a los atacantes infiltrarse en los sistemas y redes de los empleados y crear un caos y manchar su nombre. A pesar de que la gente es instruida acerca de situaciones como el phishing, programas de spyware y sitios web hackeados, muchos usuarios aún proporcionan información delicada cuando se les solicita, sin darse cuenta que esa información puede usarse maliciosamente. Las personas creen ciegamente en la legitimidad de un sitio, lo cual es un grave error en el mundo Web. La forma más fácil de robarle la información a una persona es simplemente pidiéndosela.
3. Un socio se vuelve confianzudo con su información Otro error común entre los usuarios radica en asumir que está bien mandar información delicada, tales como datos de recursos humanos a socios de negocios o proveedores de servicios outsourcing. Esto resulta peor cuando el mensaje no está encriptado. El error radica en asumir que las personas de la empresa de outsourcing de recursos humanos no divulgarán la información o la almacenarán de manera insegura en sus laptops. Este es un grave peligro cuando se envía por correo electrónico información delicada a terceras personas como parte de un negocio.
4. Algunas aplicaciones web pueden ser portales para fugas y ladrones Un comportamiento común que lleva a muchos problemas de seguridad incluye el uso de correo web o permitir que los empleados tengan acceso, en la red de la empresa, a servicios de descarga de música o intercambio de archivos. Algunas de esas aplicaciones web brincan los filtros de seguridad, como en el caso del correo web o abren un canal al exterior que puede trae virus o algo peor al interior de su organización. Y si sus empleados llevan trabajo a casa, resulta peor pues los riesgos se multiplican. Si usan las computadoras de la empresa y además realizan actividades personales por la web, esas computadoras podrían estar en peligro. Si llevan datos a casa, el riesgo es que se pierdan o sean robados. Estos problemas pueden ser evitados a través de políticas que control que obliguen al uso de clientes de correo seguros en redes privadas virtuales o canales encriptados (en el caso de correo electrónico) o simplemente impedir que los trabajadores instalen aplicaciones en sus computadoras o que copien datos a dispositivos de almacenamiento móviles (en el caso de llevar trabajo a casa) Mucho de esto puede controlarse con políticas de seguridad y aplicaciones de administración de sistemas. Algo difícil de controlar es que los empleados se envíen entre ellos información por correo electrónico aunque la encriptación puede ayudar.
5. Esperar que no suceda lo peor no ayuda, sólo es peor. Nadie desea tener una brecha de seguridad, pero se debe actuar como si se fuera a tener una. Cada empresa puede tomar medidas para aminorar el impacto que puede ocasionar una brecha de seguridad. Desafortunadamente algunas empresas esperan hasta que es demasiado tarde para probar estrategias de respuesta. Cada compañía debe tener registros del flujo de información, desde quién tuvo acceso a qué, cuándo y qué sistema se utilizó. El error más común que se observa es no registrar lo que sucede.
6. Evitar la responsabilidad sólo empeora las cosas Las compañías fracasan en solucionar los problemas de seguridad al no nombrar a una persona encargada del problema, o a un pequeño grupo. En algunas compañías, la práctica de “pasar la bolita” es muy común, mientras otras compañías involucran a tantas personas que se convierten en un estorbo para la investigación. Generalmente nadie está a cargo.
7. El manejo inadecuado del problema puede dar aviso al perpetrador Las compañías usualmente no logran plantear bien el problema de seguridad, lo que hace más difícil seguir una línea de investigación mientras los empleados averiguan sobre un incidente e inmediatamente tratan de proteger sus propios intereses y borran sus pasos.
8. Confiar en la panacea tecnológica oculta las amenazas reales Las compañías usualmente creen que instalar determinada tecnología es una cura milagrosa o una solución rápida y la realidad es que no es ninguna de las dos. La gente piensa que acciones simples como el instalar antivirus, parches y realizar diagnósticos de vulnerabilidad es suficiente Las compañías creen que tomando estas acciones no se necesitará de más trabajo.
9. Invertir cantidades impensables desperdica recursos que podrían necesitarse para enfrentar amenazas serias Muchas empresas gastan la misma cantidad de recursos en proteger sus sistemas de TI ante amenazas con niveles de peligro totalmente distintos. Muchos suelen tomar las distintas amenazas por igual. Utilizan los mismos recursos para enfrentar una amenaza pequeña que utilizan cinco personas que una aplicación en línea que utilizan todos los usuarios.
10. No guardar la información errónea En otra situación común, que indica desastre por todos lados, radica en que muchas compañías que procesan tarjetas de crédito y débito almacenan registros sin darse cuenta. Esto puede desatar brechas de seguridad que afectan al cliente. Lo peor de todo esto radica en que estas empresas no se dan cuenta que están almacenando la información errónea que puede ser utilizada por un hacker un mal empleado que puede incluso falsificar una tarjeta. Las compañías deben asegurarse de almacenar sólo la información necesaria.