Empresa

Cómo protegerse de fraude corporativo y no morir en el intento

Cuando está ocupado con procesos de negocios 24/7, es difícil pensar en una abstracción como la "seguridad de la información". La comprensión llega con la primera emergencia, cuando se descubre que los delitos con información no son trucos de hackers de películas, y las PYMEs también están en la zona de riesgo.

Para un negocio la frase "seguridad de la información" deja de ser un concepto desconocido cuando un empleado coge un virus de encriptación y toda la contabilidad se paraliza repentinamente. En lugar de trabajar, todos están averiguando si hay una copia de seguridad de la base o si tendrá que pagar a un hacker. Cuando alguien filtró la nómina a los competidores y provocó un éxodo masivo de empleados. Cuando el administrador de sistemas cambió los accesos al correo corporativo, exigiendo que se le aumentara el salario. O cuando al despedir otro administrador colocó un criptógrafo que se activó seis meses después.

La práctica muestre que mucho más probable los datos filtrarán por culpa de empleados propios (intencionalmente o accidentalmente) y no por intrusos desde el exterior. Encuestamos a más de mil profesionales de seguridad de la información y ejecutivos de la compañía, y la gran mayoría dijo que los incidentes internos son más peligrosos que los externos. Solo el año pasado, el 58% de las empresas se enfrentaron a fugas de información por culpa de los empleados. La mayoría de casos fueron la filtración de las bases de clientes y los datos sobre las condiciones de trabajo con contrapartes. Un tercio de las empresas descubrieron esquemas de sobornos, y el mismo número atrapó a los empleados trabajando para los competidores.

Estos esquemas son la manipulación de la información. Después del primero incidente, los ejecutivos tienden a tomar rápidamente la decisión de "hacer algo al respecto".

Implementar el control.

Eso significa seguir el movimiento de los documentos y datos dentro del perímetro corporativo, así como el envío a destinatarios externos. En teoría, todo esto se puede controlar manualmente. Pero dado que en cualquier empresa moderna, la comunicación y la transferencia de documentos se llevan a cabo de una docena de maneras diferentes, tendrá que poner la vida en control total.

Rescata la automatización.

Los sistemas DLP toman el control de todos los canales, desde el correo y los mensajeros hasta las nubes. El sistema detecta un intento de drenaje, falsificación de documentos, cualquier negociación que el empleador considere peligrosa (por ejemplo, sobornos, trabajo paralelo, uso de drogas, etc).

¿Y quién va a controlar? ¿El director?

Hay una gran oferta de sistemas en el mercado, desde programas primitivos hasta super máquinas. El problema es si la empresa no tiene un especialista que trabaje con este programa, no habrá efecto. Se necesita una persona que responda a las señales del programa a tiempo, identifique un incidente peligroso, urgentemente prevenga el problema, investigue el incidente y determine los culpables.

Encontrar tan especialista no es una tarea ordinaria. Los verdaderos profesionales son caros, y no hay muchos. Por regla general, las pequeñas y medianas empresas no pueden pagar por tan especialista. Tal ahorro en el caso de las pequeñas empresas, por un lado, está justificado. Pero sin un especialista experimentado en seguridad hay riesgo de pasar por el camino de los experimentos erróneos: pagar en exceso por el hardware y software, que además no tendrá a nadie para operar correctamente.

En pocas palabras: el especialista caro no es asequible, y el inexperto no resuelve los problemas. Está claro que la "estación final" de este camino es una decepción y la decisión de posponer el problema de la seguridad de la información hasta los "buenos tiempos" o hasta la próxima emergencia.

Hay otra opción: recurrir a la subcontratación. Si en TI es un camino moderno y familiar, en la seguridad de la información es una novedad. Durante mucho tiempo hubo la opinión de que la protección del perímetro interno se debe operar "en casa" y no se puede subcontratarse. Cuando lanzamos el servicio MSSP, notamos que para muchas empresas la subcontratación se convirtió en la única opción para cerrar el problema de violaciones internas.

Especialista en seguridad que no necesite vacaciones

El cliente compra o alquila un sistema DLP, el subcontratista lo configura con arreglo a todos los necesidades del cliente y luego se pone de servicio. El subcontratista continuamente maneja el sistema y le informa en el horario acordado: una vez al día, a la semana, al mes. Al detectar el incidente, se comunica con urgencia con el cliente para advertir la violación. Al mismo tiempo, la compañía tiene los poderes máximos en el sistema. El cliente controla tanto la situación en su organización como las acciones del subcontratista.

En palabras simples: el cliente contrata el profesional con la experiencia en cientos compañías de perfiles diferentes. Más que eso, el analista no está familiarizado con los empleados del cliente y no está interesado en ocultar y tergiversar los hechos. Una ventaja más, el subcontratista empieza a trabajar inmediatamente, no necesita entrenamiento y no se va de vacaciones o de baja por enfermedad.

La objeción principal suele ser: ¿cómo se puede permitir que personas externas ingresen a la cocina interior? Es una cuestión de confianza. No se puede confiar en todas subcontratistas, pero las empresas grandes con una historia larga preocupen por su reputación. Para ellos, la calidad del servicio es mucho más importante que el beneficio único. Sin embargo, si hablamos sobre seguridad, este no puede ser el último argumento.

El autor es Ricardo Martínez, Gerente de Negocios y Alianzas para LATAM, jefe de la representación de SearchInform en América Latina.

Noticias de Empresa

Cine, ciencia y humanidad: reflexión sobre el impacto de la prueba del talón

El director del centro investigador, Pablo Flores, asegura que este acuerdo ""protege a las empresas y les ayuda a estar preparadas ante las nuevas exigencias""