Las contraseñas compartidas son uno de los errores más frecuentes
Enviado por uro cacho • 20 de Abril de 2021 • Apuntes • 1.109 Palabras (5 Páginas) • 37 Visitas
Las contraseñas compartidas son uno de los errores más frecuentes
La seguridad de los sistemas informáticos y tecnológicos en las empresas tiene un componente fundamental, aunque soslayado en general en el sector corporativo: El empleado de la propia compañía o personal de terceras empresas que realizan un trabajo eventual o personas externas.
El uso de contraseñas débiles, basadas en datos personales; y el empleo compartido de contraseñas en sistemas críticos entre trabajadores o entre directivos y secretarias son algunos de los errores más frecuentes, consecuencia de una ausencia de políticas internas y de capacitación. Estas fallas pueden abrir el paso a graves problemas en los sistemas de tecnología de la información de las compañías.
Escasa conciencia
El panorama se agrava porque en las empresas no se asigna prioridad al tema. Según la encuesta “Acciones de los gerentes de IT en América latina relativas a la seguridad”, realizada por Kaagan Research & Associates, por encargo de Cisco, el 68 % de los ejecutivos argentinos afirman que los riesgos de la seguridad de los datos se han incrementado en los últimos tres años y el 29% dice haber sufrido algún tipo de ataque.
Sin embargo, menos del 35% de los ejecutivos considera que la seguridad es una cuestión de “alta prioridad”. Solamente el 35% del top management de las empresas argentinas considera que la seguridad de datos es de muy alta prioridad, en contraste con Colombia y Venezuela, en los que el 51% le asigna esa calificación.
Los incidentes relacionados con la seguridad de datos en las empresas latinoamericanas siguen aumentando, proporcionalmente al riesgo de ataques futuros, mientras disminuye la confianza de los ejecutivos en relación a las capacidades de poder enfrentarlos, de acuerdo a esta encuesta.
Por su parte, el Estudio de Prince & Cooke 2005, en la Argentina el 9,4 % de las empresas reconoce haber tenido incidentes de seguridad en los últimos 12 meses, una cifra que en realidad es un piso pues son pocas las empresas que reconocen de manera abierta que hayan sufrido este tipo de problemas. De los incidentes reportados, 15.4% lo atribuyen a internos, 46,2 % a externos y 38,5 % a ambos. En un 38,5 % dicen haber realizado análisis forense de los incidentes.
En una entrevista con infobaeprofesional.com, Juan Carlos Vuoso, gerente general de Etek Argentina, una de las principales empresas de seguridad informática del país, con sus servicios certificados según normas ISO 9001:2000 y 17799 / BS7799-2:2002, enfatizó en la necesidad de capacitar al personal para elevar los estándares de seguridad de los sistemas.
¿Cuáles son los principales factores de riesgo para la seguridad de la información en una empresa?
Generalmente se piensa que la seguridad perimetral es el principal factor de riesgo a proteger en una empresa, pero la realidad es que se debe realizar un análisis de riesgos para identificar los peligros en cada organización. De esta manera, se puede llegar a determinar el principal factor de riesgo para la seguridad de la información analizando la actividad de la empresa, la información que maneja, dónde se almacena, quién tiene acceso y cuáles son los controles.
Ataques internos
Uno de los focos de atención en seguridad informática son los ataques internos, que pueden ser:
* Un intento de obtener acceso a información restringida.
* Diseminar un virus o spywares que provoquen denegación de servicios.
* Sentarse simplemente en la PC de otro usuario y modificar datos.
Por lo general, según Vuoso, debería ser ejecutado por un empleado de la compañía, con los permisos necesarios. “Pero a veces intervienen en estos ataques personal de terceras empresas que realizan un trabajo eventual o personas externas que vulneran la seguridad física”, advirtió.
¿Las empresas descuidan los ataques internos? ¿Qué pueden hacer ante ellos?
Al no realizar estudios de análisis de riesgos, las empresas descuidan la seguridad interna, limitandola a la simple detección de virus en los desktops y en los servidores de e-mail. De esta manera, no se toma conciencia del daño que puede ocasionar la distribución de información sensible dentro y fuera de la organización, como planes de marketing, listado de clientes, plantilla de sueldos, etc. Una vez definidos los activos de información, aconsejamos incorporar las herramientas tecnológicas de hardware y software que permitan prevenir y mitigar los ataques internos, para lo cual se necesitará una correcta configuración, tuning y administración especializada con el seguimiento de eventos y alertas. Y, además, la concientización o security awareness, en donde la alta dirección autoriza las políticas corporativas de seguridad de la información y su aplicación en la organización. El security awareness comprende la capacitación de los distintos niveles de la empresa.
¿El uso indebido de Internet también puede ser considerado un ataque interno?
Todo depende de lo que esté reglamentado en la política interna de seguridad de la información. En general, el uso indebido de Internet es un problema de “mal uso” de los recursos de trabajo de la empresa, al igual que el uso indebido del teléfono. En algunos casos, al navegar por sitios “no laborales”, se puede descargar en forma automática código malicioso o spyware, provocando un ataque interno y divulgación de información, sin que el usuario tenga conciencia de ello.
Errores
Vuoso identificó como errores y fallas más comunes en seguridad interna en una empresa a las siguientes:
* Contraseñas débiles (datos personales, etc), uso compartido de contraseñas en sistemas críticos entre empleados o entre directivos y secretarias.
* Desvinculación de empleados conflictivos o cambios de cargo, sin un correcto procedimiento de baja de accesos.
* Accesos de personal externo eventual sin restricciones.
* Falta de política de seguridad de la información.
* Falta de concientización en seguridad de la información.
* Errores en la configuración de las herramientas de seguridad por falta de conocimiento.
* Implementaciones “default” de las herramientas de seguridad.
Vuoso comentó que promueve entre las empresas el desarrollo de "una estricta política de seguridad que incluya la concientización de los recursos humanos e incluso sanciones graduales a los infractores”. “La falta de concientización y capacitación interna hace posible que mediante la ingeniería social se pueda manipular a un individuo haciendo que divulgue datos sensibles como claves, accesos y passwords. Otros clásicos ‘peligros’ son los documentos con información confidencial que quedan en cestos, impresoras o fotocopiadoras a la vista de personas que no deberían tener acceso a dicha información”, agregó.
Política eficaz
Vuoso señaló que los pilares de una política de seguridad eficaz son:
* La concientización de la alta gerencia para lograr el respaldo de las decisiones.
* Un exhaustivo análisis de riesgos a fin de catalogar cada uno de los activos de información de manera adecuada.
En el caso de las pymes, señaló que al igual que las empresas corporativas, “cuentan con información valiosa que es el ‘core bussines’ de su negocio y cualquier ataque interno o externo o divulgación de dicha información puede generar graves problemas financieros o laborales”.
...