Tendencias Digitales - Tendencias Digitales

Seguridad IT, también para los empleados

*Fernando de la Cuadra

Las normativas sobre seguridad e higiene en el trabajo tienen un fin muy claro: evitar accidentes y enfermedades en los trabajadores. Y además, cada normativa puede verse desde dos puntos de vista muy distintos, desde el lado del trabajador y desde el empresario. Si un obrero utiliza casco, está protegiendo su integridad física, lo que sin duda es muy conveniente. Pero si un empresario hace que el trabajador use el casco, está protegiendo su fuerza de trabajo, haciendo que la empresa no vea reducida su productividad.

Más allá de estos puntos de vista, hay un trasfondo añadido a estas medidas de seguridad: en una empresa segura, el ambiente de trabajo es mejor. El mero hecho de tener, por ejemplo, filtros anti-polen en el sistema de aire acondicionado, hace que el aire dentro de una oficina sea más sano y se pueda trabajar mejor. O tener un vigilante en la puerta del edificio que evite la entrada a personas no deseadas también mejora sustancialmente el confort en el trabajo diario.

Sin embargo, en muchas empresas todavía no se ha llegado a implementar un sistema de protección contra intrusiones informáticas adecuado. Sí es cierto que la protección contra códigos maliciosos es muy común, ya que los empresarios y responsables de sistemas se han dado cuenta de que la probabilidad de perder información por culpa de un código malicioso es muy alta si no de dispone de un sistema antivirus. De esta manera, la base de datos de clientes, los proyectos, las propuestas, en definitiva la base de funcionamiento de la empresa, estará a salvo.

Pero hay un nivel que todavía debemos alcanzar en los sistemas de protección. Las amenazas no se ciernen exclusivamente sobre los datos, sino que en los últimos tiempos se han lanzado en picado sobre el dinero. Cada vez más los códigos maliciosos se crean con el objetivo de obtener un beneficio económico, llegando al caso de cifrar ficheros, exigiendo una cantidad económica a cambio de la clave de descifrado.

De todos es conocido también que el phishing supone un claro peligro para los usuarios. Este tipo de estafa consiste en mandar un correo electrónico a una colección de direcciones de e-mail (al más puro estilo spam) en las que se informa de un supuesto problema con los datos de la cuenta bancaria por Internet del usuario. Evidentemente, no existe ningún problema real con la cuenta del usuario, pero aquel que pique puede verse en un serio problema, al haber dado el control de su cuenta bancaria a un estafador.

En todos estos casos, una empresa podría desentenderse de estos problemas, ya que no son sino errores en los que cae el usuario, sin que tenga mayor repercusión para la marcha de la empresa. Pero vendría a equivaler a la instalación de un filtro anti-polen como el que mencionábamos antes. Un problema alérgico en un empleado no es problema que deba resolver la empresa, pero sin duda entra dentro de las obligaciones y responsabilidades de los empresarios mantener un aire lo más puro posible para sus empleados.

Pues lo mismo ocurre en una instalación informática corporativa. Los empleados deben tener una protección que vaya más allá del simple filtrado de códigos maliciosos, ya que el malware va mucho más allá de lo que son los clásicos virus o troyanos.

En el mejor de los casos, alguna empresa puede llegar a pensar que sus cuentas bancarias pueden estar amenazadas, pero el control interno que siempre hay en los departamentos de administración de las empresas convierten los ataques de phishing en prácticamente inútiles a nivel corporativo. No descartemos, sin embargo, que en el futuro puedan verse involucradas también las cuentas bancarias corporativas.

Hoy en día la definición de malware no solamente incluye código ejecutable, como se podría suponer al derivarse su nombre de “malicious software”. Para que algo cause daño en una instalación informática no es necesario que sea software, puede ser un simple mensaje de correo electrónico. Nadie tiene la más mínima duda de que el spam es pernicioso, y sin embargo un e-mail, por mucha Viagra que anuncie, no es software: es un mensaje de correo electrónico que se podrá leer de una manera u otra, pero en principio, no va a llevar a cabo una tarea dentro del sistema más allá de la molestia que supone su recepción y eliminación.

Lo mismo ocurre con el phishing, no es código ejecutable, pero el peligro que entraña es elevadísimo y debe incluirse algún tipo de filtro anti-phishing integrado con los sistemas de protección corporativa. El uso de herramientas distintas dentro de los sistemas de seguridad para problemas distintos hace que se pierda la visión integrada de la protección, generando huecos muy difíciles de taponar.

A todas estas amenazas hay que sumar una a la que no se le da la importancia suficiente en las empresas: el spyware. En muchísimas ocasiones se piensa que el spyware es un problema para los usuarios finales, para los usuarios domésticos. Estos mismos usuarios son los que están delante de los ordenadores en las empresas, y aunque la información que intentan robar estos códigos espías suele ser referente a hábitos de navegación, no debemos olvidar que el spyware suele incluir entre sus funciones la de grabación de pulsaciones de teclas (“keylogging”). Un listado de las pulsaciones de teclas en el ordenador de un trabajador quizá no consiga tarjetas de crédito, pero sí una ingente cantidad de datos que harán las delicias de los competidores.

A pesar de las medidas clásicas de seguridad contra espionaje industrial, las empresas deben tener en cuenta que una teóricamente inocua barra de navegación instalada por un empleado (y no detectada adecuadamente por el sistema antimalware) puede dar a traste con un proyecto millonario. O sin ser tan tremendistas, puede simplemente servir de “vía de escape” a direcciones de correo para engrosar las listas de los spammers.

Si las empresas de hoy en día quieren establecer un sistema de seguridad efectivo, deben vigilar que todos los riesgos -ataquen directamente a la empresa o bien a los empleados- estén vigilados y solucionados. La concepción global de la seguridad informática de hoy en día ofrece, y exige, soluciones completas para la seguridad completa.

*Editor Técnico Internacional de Panda Software

Si desea ver más artículos haga click aquí