Despido de Empleados - INSEGURIDAD ¿?

Mis comentarios en Negrita

Haciendo alusión a los conocimientos técnicos de seguridad que podemos tener, me pareció importante compartir con ustedes este artículo que habla acerca del despido a un empleado… Pero que pasaría si fuera un CSO o un Pentester interno, o un desarrollador del core business, gente de soporte con conocimiento de las credenciales de administración del dominio, más que un simple usuarios con acceso al file server o a carpetas compartidas de negocio, o con acceso limitado al ERP ¿?

Los expertos en Seguridad aconsejan que las empresas tengan un plan de protección de la información comercial reservada y de los empleados, antes de poner en marcha la reducción del personal.

Mientras la recesión económica continúa castigando al mercado, cada vez más empresas enfrentan la difícil decisión de reducir drásticamente sus puestos de trabajo para poder mantenerse a flote. Y como la crisis comenzó en diciembre de 2007, en EEUU ya se han perdido más de 4 millones de empleos, según afirma la Agencia Nacional de Estadísticas Laborales.

Aunque la mayor parte de quienes toman las decisiones se concentran en capear el temporal económico, los expertos en seguridad advierten que deben mirar con recelo a sus empleados, que por temor a ser despedidos, podrían actuar en perjuicio de la seguridad física o logística de la empresa.

Recientemente, el Ponemon Institute -dedicado a investigaciones sobre el manejo de la información- y Symantec- empresa que desarrolla software de seguridad- llevaron a cabo una investigación en forma conjunta. Casi el 60% de los entrevistados-que habían perdido su trabajo hacía poco tiempo- admitieron que se habían llevado consigo información corporativa de carácter confidencial. De las 950 personas entrevistadas, el 53% contó que había copiado de la computadora a un CD o DVD información que contenía desde listas de contacto de clientes a legajos de empleados; mientras que el 42 % transfirió la información directamente a una memoria USB.

Brian Baker, consultor de seguridad privada con casi 20 años de experiencia, recomienda que además de restringir los medios que usan los empleados para robar o adulterar la información reservada, también se les debe impedir el acceso a archivos confidenciales. PFFFF Quizás lo dijo hace 10 años atrás… o no ¿? :-)

“La experiencia me ha enseñado que no existen los secretos en una empresa; y una vez que empieza a circular el rumor de posibles despidos, se dejan de acatar las normas sociales y las políticas corporativas. Y cuando todos hablan sobre eventuales conflictos, se deben modificar las contraseñas y los niveles de acceso, aunque esto implique trabajo adicional y mayores costos temporales.”
Baker agrega que la empresa también podría tercerizar la evaluación de vulnerabilidad de su TI (OJO, esto es algo que hace tiempo me está dando vueltas en mi cabeza, y no hablo de un pentesting a servidores o estaciones de trabajo o aplicaciones web, etc, si no hablo de un pentesting orientado al usuario final, INGENIERÍA SOCIAL [SET] para ver el grado de madures con lo cual manejan los sistema y la información los usuarios finales y ejecutivos [WHALING]).

“Es importante contratar a un consultor de seguridad de TI para que haga una evaluación y ayude a mejorar la seguridad; y por supuesto, se deben hacer copias de seguridad de todos los archivos”, advirtió Baker. “ Conozco un caso de una universidad con mucha rotación de personal, donde era un secreto a voces que los archivos de los profesores sólo se resguardaban por 32 horas, hasta que se reescribían nuevos datos en sus reducidas memorias. No tenían ningún tipo de seguridad o alarma de advertencia que detectara el robo de información por parte de algún empleado descontento. Fue así que se bajaron archivos académicos confidenciales, que fueron reemplazados por archivos jpeg. sin levantar sospechas, ya que se conservaba el tamaño de los originales.”. Un poco de análisis forenses sería suficiente no ¿?


Protección de la Información Confidencial

Un peligro latente que deben enfrentar las empresas y, en especial, el personal de seguridad son los delitos informáticos contra la información confidencial. Muchas veces, hay empleados con gran conocimiento de la computación, que pueden desbaratar una operación de algún colega, simplemente bajando un archivo infectado con virus o un programa de espionaje. (Es de mi idea loca… como mido riesgo, como gobierno el tema social¿?, cuales son los perfiles de mis usuarios avanzados y como puedo resguardar a los usuarios básicos [EJECUTIVOS])

“Supongamos que a usted le preocupan los virus: sin duda, usted debería tener su programa antivirus actualizado; y no sólo para los empleados que estén trabajando en su oficina, sino también para los empleados en tránsito, que tienen computadoras portátiles; o tal vez, para algunos ejecutivos que trabajan desde sus hogares,” explica Jim Kelton, encargado principal de la empresa de auditorías de seguridad de TI, Altius Information Technologies.

“También debe asegurarse de tener instalado un programa de protección contra la piratería: en el caso de una computadora portátil, probablemente será una protección de los programas informáticos (software); y si se trata de una organización con servidores, habrá que proteger los equipos de computación (hardware) contra posibles peligros.

” Kelton agrega que se deben revisar periódicamente las listas, para quitar de la red empresarial los nombres de usuario y la contraseña de los ex empleados; y confiscar los manuales o algún otro material que instruya cómo acceder a los sistemas. (No debería ser trabajo de RRHH, con algún perfiles especial y auditable¿?, nuevamente el error humano y no del procedimiento)

Felix Nater, dueño y presidente de la consultora de seguridad Nater Associates, afirma que las empresas deben proteger de manera pro-activa (QUE ES SEGURIDAD PROACTIVA, alguien se a echo esta pregunta¿?) la información confidencial. Esto se logra poniendo en marcha un plan que reduzca los riesgos de que algún empleado descontento produzca daños irreparables. Aun algo tan banal como un IPod puede significar un gran riesgo en las manos de una persona con los conocimientos adecuados.

“No permitan que los empleados traigan memorias portátiles USB (flash drives) a su lugar de trabajo, pues pueden copiar gran cantidad de información de los sistemas de la pequeña, mediana o gran empresa. Tampoco deberían permitirse los IPods con gran capacidad de almacenaje. Mientras que la mayoría de los empleados jamás recurriría a este tipo de ardid, cuando hay peligro inminente de perder el puesto de trabajo…..muchos sucumben a la tentación. ¿Cómo puedo incrementar mi atractivo para el mercado?” (Y QUE PASA CON LA GENTE DE TI¿?, CUALES SON LOS CONTROLES SI TIENEN MAYOR CONOCIMIENTO Y PROVILEGIOS¿?)

Kelton sostiene que cuanta más operatividad hayan volcado las empresas al área de TI, más vulnerables se han vuelto a este tipo de peligro. Y agrega que el mejor modo de protección de la información de TI es hacer una evaluación de vulnerabilidad de la seguridad (NUEVAMENTE LOS SISTEMAS… Y LAS PERSONAS ¿?, COMO REACCIONAN A LAS TÉCNICAS DE INGENIERÍA SOCIAL¿?).

Otro ítem a tener en cuenta es el conocimiento (o desconocimiento) que tienen las empresas acerca de las leyes federales y nacionales de protección de la información confidencial. “Hoy día, a todos nos preocupa la protección y seguridad de la información delicada; y se han sancionado varias leyes, pero muchas organizaciones no están enterradas. “El estado de California tiene 78 leyes de privacidad; pero muchas organizaciones ni siquiera saben que las están violando. Así que primero, dé un paso atrás e infórmese sobre lo que dicta el gobierno respecto de una industria específica…y sólo entonces, póngase a planificar la protección adecuada de su información confidencial.”

Espero las críticas de este articulo les sirvan para reflexionar sobre el despido de empleados en sus organizaciones y tener a la vista el despido de personal de TI, y espero que esto último lo tomen con mucha ética.