Cuando pensamos en seguridad informática, tendemos a imaginar hackers y criminales cibernéticos que luchan por entrar en las redes de una organización para robar información. Un informe completo sobre incidentes de seguridad informática que encargó Clearswift encontró que el 83% de las organizaciones que fueron medidas han experimentado una brecha de seguridad en los últimos 12 meses. Si bien la seguridad se enfoca –erróneamente- en hackers foráneos malvados y sombríos, la investigación demuestra que el 58% de los incidentes son originados dentro de las organizaciones por empleados, ex empleados y socios confiables: gente como tú y como yo.
La investigación dejó al descubierto que el 72% de las organizaciones están esforzándose por actualizarse tanto en los cambios que se dan en el ambiente de seguridad como en las políticas respecto de la forma en que la gente se comunica o en que los negocios se conducen hoy en día. Uno de los mayores cambios tanto en la práctica de negocios como en los riesgos que acarrean los mismos ha sido el aumento de Bring Your Own Device (BYOD).
Las 3 mayores amenazas de BYOD son: 1) Cuando los empleados utilizan el USB o aparatos de almacenamiento; 2) Errores humanos involuntarios; 3) Cuando los empleados envían emails de trabajo a través de emails personales.
Sin embargo, no es justo echarle la culpa exclusivamente a los empleados si ellos mismos están siendo animados (o por lo menos no desalentados) a adoptar el BYOD. Aproximadamente un tercio (31%) de las organizaciones están manejando el) BYOD de forma activa, mientras el 11% directamente la rechaza. Aquellos que rechazan el uso del BYOD tienen más probabilidad de encontrarse con amenazas de seguridad internas (37% vs. 18% para aquellos que lo manejan proactivamente). En el sondeo, el 53% dijo que los empleados usarían BYOD para las redes sociales , se sancione o no. Las responsabilidades las debe asumir la compañía, que debe llevar adelante un uso responsable y no esconderse como un avestruz pretendiendo que nada vaya a suceder.
Entonces, ¿qué seguiría? Las organizaciones tienen que asumir que las amenazas internas son tan importantes como las foráneas y por eso deberían tener un plan de seguridad acorde. Cuando se trata de BYOD, un conjunto de políticas deben ponerse en juego lo más rápido posible. Por ejemplo, debería haber un programa educativo o de concientización tanto para los usuarios como para los empleados sobre los riesgos que el BYOD puede acarrear y como los mismos pueden ser aminorados. De esta manera los aparatos personales de los empleados se podrán utilizar de forma segura.
Si tu empresa aún no publicó reglas sobre BYOD, como empleado puedes seguir estos consejos:
- No pongas a tu empresa (o a ti mismo) en riesgo usando artefactos personales, ni siquiera memorias USB, para manejar información corporativa sin consultar previamente con un administrador de sistemas o un agente de seguridad informativo.
- Si precisas una memoria USB, entonces utiliza una encriptada –y preferentemente una que respalde tu compañía. Hay muchas para elegir allí afuera y no son mucho más caras que las no encriptadas. Por tan sólo £20 podrías salvar el prestigio de tu empresa.
- Lo mismo podría aplicarse a las cuentas de e-mail personales. Si tienes que utilizar si o si tu e-mail privado (en el caso de que, por ejemplo, tu casilla corporativa no funcione), monta una cuenta que puedas dedicar a estas situaciones con un máximo de seguridad (un comienzo podría ser una cuenta Gmail con dos factores de autentificación).
- Envía cualquier documento encriptado. Hay muchas formas de hacer esto – empezando por Documentos de MS Office protegidos con contraseña o archivos ZIP con una contraseña bien segura. Por supuesto no debes enviar contraseñas encriptadas en el mismo e-mail; llama al destinatario por teléfono para decírsela.
- No montes tu e-mail de trabajo sobre tu aparato privado sin consultar anteriormente con el administrador de sistemas del mismo. Hay clientes especialmente protegidos para realizar esto de una forma segura