La implementación de normas ISO disminuye los errores humanos
De acuerdo a los estudios realizados por la empresa de seguridad empresarial Blue Coat Systems, basta con un descuido humano y la infraestructura de seguridad de una organización no será un escudo suficiente para detener un ataque virtual.
“Dejar a la vista de todos un post-it con las contraseñas anotadas, olvidar información confidencial en algún lugar o caer en las trampas de la ciberdelincuencia, siguen siendo las negligencias más comunes entre los empleados, lo cual puede ocasionar grandes pérdidas económicas para una compañía”, escribe la compañía en reciente informe, donde agrega que “lamentablemente, el empleado continúa siendo el eslabón más débil en el ecosistema empresarial, siendo el error humano, en su mayoría no intencionado, la principal causa de incidentes de seguridad que provocan pérdidas de datos”.
De acuerdo con el reciente estudio del Grupo de Usuarios Independientes de Oracle, el 81% de los trabajadores considera que el error humano constituye el mayor riesgo en el manejo de los datos empresariales, seguido por el temor a los ataques internos (65%). También en un 54% preocupa el abuso de los privilegios de acceso por parte del personal de las Tecnologías de la Información y en un 53% los códigos maliciosos o virus.
A pesar de los descuidos personales, muchos de los encuestados indicaron que aplican relativamente pocas protecciones para prevenir el abuso accidental o intencional del empleado.
Además, los resultados de esta encuesta destacan que las empresas son muy débiles en los controles preventivos, de detección y administrativos, incluso los controles internos de uso privilegiado son limitados, carentes del conocimiento de donde radica la sensibilidad de los datos así como de un monitoreo inadecuado de la actividad de los usuarios privilegiados.
Por su parte, la última encuesta realizada por IT Governance entre altos ejecutivos coincide en señalar que el 54% de los entrevistados opina que sus propios empleados representan la principal amenaza de seguridad, frente a 27% que opina que los hackers son el principal riesgo, 12% que culpa a los ataques dirigidos, y 8% a sus rivales corporativos. Por otro lado, las compañías no ignoran los riesgos, ya que 77% de los directivos asegura que sus organizaciones cuentan con un método para la detección y notificación de los ataques o incidentes.
Los atacantes externos y la constante evolución de sus métodos y acciones representan una gran amenaza para las compañías, pero los peligros asociados con las amenazas internas pueden ser igualmente destructivos y traicioneros. De acuerdo con Ponemon Institute, el comportamiento de los empleados es uno de los problemas que más afectan a las organizaciones actualmente, esto se ha incrementado en un 22% desde que realizó el primer estudio sobre fuga de datos.
Por ello, Blue Coat recomienda a las empresas cumplir con la norma ISO 27001, el estándar internacional emitido por la Organización Internacional de Normalización (ISO), que establece las mejores prácticas para la gestión de seguridad de la información. Entre sus diversas disposiciones, ésta hace referencia a la seguridad ligada a los recursos humanos, que debería enfocarse desde la definición de las funciones y los recursos hasta la finalización de la relación laboral, incluyendo la seguridad en el desarrollo de las funciones de los empleados.
También se asegura que todo el recurso humano (empleados, contratistas y terceros) vinculados con la empresa entiendan sus responsabilidades y estén en las condiciones para desarrollarlos; de esta forma se pueden reducir riesgos de fraude y uso inadecuado de los activos de información de la empresa. La norma ISO 27001 puede ser implementada en cualquier tipo de organización, con y sin fines de lucro, privada o pública, pequeña o grande.