{"id":11148,"date":"2018-01-11T13:25:02","date_gmt":"2018-01-11T12:25:02","guid":{"rendered":"https:\/\/callidusprolab.com\/smartfense\/cuando-el-recurso-mas-valioso-de-la-organizacion-se-transforma-en-amenaza\/"},"modified":"2024-09-11T18:30:10","modified_gmt":"2024-09-11T16:30:10","slug":"cuando-el-recurso-mas-valioso-de-la-organizacion-se-transforma-en-amenaza","status":"publish","type":"post","link":"https:\/\/smartfense.com\/es-ar\/blog\/cuando-el-recurso-mas-valioso-de-la-organizacion-se-transforma-en-amenaza\/","title":{"rendered":"Cuando el recurso m\u00e1s valioso de la organizaci\u00f3n se transforma en amenaza"},"content":{"rendered":"

\u00bfQu\u00e9 es un delito inform\u00e1tico y qui\u00e9nes lo cometen?<\/h3>\n

El \u201cConvenio de Ciberdelincuencia del Consejo de Europa\u201d define\u00a0delito inform\u00e1tico\u00a0<\/strong>como \u201clos actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas inform\u00e1ticos, redes y datos inform\u00e1ticos, as\u00ed como el abuso de dichos sistemas, redes y datos\u201d\u00a0[1]<\/a>. La inform\u00e1tica puede ser el medio o el fin de esos actos delictivos llevados a cabo por\u00a0individuos malintencionados\u00a0<\/strong>[2]<\/a>. Por ejemplo, en la inform\u00e1tica como medio un ciber delincuente utilizar\u00eda un ordenador para acceder sin permiso a un sistema y robar informaci\u00f3n para despu\u00e9s venderla, mientras que cuando un ciber delincuente deniega el acceso a un servidor o a toda una red, la inform\u00e1tica es un fin sin importar el medio utilizado para lograrlo.<\/p>\n

\u00bfD\u00f3nde est\u00e1 el foco de la seguridad en las organizaciones y qu\u00e9 se descuida?<\/h3>\n

Cuando se habla de delitos inform\u00e1ticos lo m\u00e1s habitual es pensar que quienes los llevan a cabo son\u00a0desconocidos sin rostro que residen fuera de la organizaci\u00f3n.\u00a0<\/strong>A la mayor\u00eda de las organizaciones no les agrada el hecho de pensar que el enemigo podr\u00eda estar trabajando internamente para la misma. Sin embargo, los\u00a0empleados<\/strong>\u00a0tienen acceso directo y privilegiado a los activos de la compa\u00f1\u00eda, muchas veces sin ser monitoreados, en comparaci\u00f3n con el tr\u00e1fico que ingresa a la red desde Internet. La combinaci\u00f3n de demasiada confianza, f\u00e1cil acceso a la informaci\u00f3n y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos.<\/p>\n

Estad\u00edsticas de delitos inform\u00e1ticos y fugas de datos en relaci\u00f3n con los empleados<\/h3>\n

A lo largo de los a\u00f1os ha habido un gran n\u00famero de delitos inform\u00e1ticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como ser malversaci\u00f3n de fondos o ataques de venganza tras haber sido despedidos. Seg\u00fan un estudio realizado en 2015 por la consultora internacional EY (Ernst & Young), el\u00a034% de la informaci\u00f3n de las organizaciones se ve comprometida intencionalmente por el personal interno<\/strong>\u00a0[3]<\/a>. Otro art\u00edculo publicado por Heimdal Security en 2016 indica que el\u00a059% de los empleados roba informaci\u00f3n<\/strong>\u00a0de propiedad de la empresa cuando se van o son despedidos y que el mayor riesgo est\u00e1 en los usuarios con accesos privilegiados\u00a0[4]<\/a>. Esta informaci\u00f3n robada es la que posteriormente ser\u00eda utilizada para cometer diversos tipos de delitos.<\/p>\n

\u00bfPara qu\u00e9 se utiliza com\u00fanmente la informaci\u00f3n robada por los empleados?<\/h3>\n

La 10ma Edici\u00f3n del \u201c2017 Data Breach Investigations Report\u201c de Verizon alerta que el robo de informaci\u00f3n personal y registros m\u00e9dicos hacen posible delitos tales como el\u00a0robo de identidad, fraude en la devoluci\u00f3n de impuestos<\/strong>\u00a0y muy de vez en cuando el\u00a0chisme<\/strong>. En general, el 24% de la informaci\u00f3n robada suele ser de car\u00e1cter confidencial, lo cual incluye: proyecci\u00f3n de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para\u00a0espionaje<\/strong>\u00a0[5]<\/a>.<\/p>\n

\u00bfC\u00f3mo suelen los empleados hacerse con la informaci\u00f3n?<\/h3>\n

La fuente mencionada anteriormente tambi\u00e9n indica que los empleados logran acceder a la informaci\u00f3n que roban ya sea saqueando bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electr\u00f3nico de otros empleados (9%).<\/p>\n

\u00bfQu\u00e9 motiva a un empleado a robar informaci\u00f3n?<\/h3>\n

Seg\u00fan el mismo estudio realizado en 2015 por EY, el personal en general compromete intencionalmente la informaci\u00f3n de la empresa al resultar tentado con la\u00a0ganancia financiera<\/strong>.<\/p>\n

\u00bfPor qu\u00e9 el empleado se anima a delinquir?<\/h3>\n

La falta de reglas, pol\u00edticas y concientizaci\u00f3n en las organizaciones hace que los empleados sean tentados a cometer acciones que resulten en delitos inform\u00e1ticos, que en muchos casos son dif\u00edciles de detectar una vez llevados a cabo (como por ejemplo la fuga de datos).<\/p>\n

\u00bfC\u00f3mo prevenir estos delitos y c\u00f3mo reducir las consecuencias en caso de que ocurran?<\/h3>\n

La implementaci\u00f3n de\u00a0pol\u00edticas de uso aceptable<\/strong>\u00a0firmadas por los empleados en conjunto con\u00a0planes de\u00a0capacitaci\u00f3n y concientizaci\u00f3n<\/a><\/strong>\u00a0representan una medida disuasoria permitiendo prevenir la ocurrencia de delitos inform\u00e1ticos por parte de los mismos. Adem\u00e1s, las pol\u00edticas de uso aceptable pueden ser utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen tambi\u00e9n elementos que reducen la consecuencia en caso de que se consuma alg\u00fan tipo de delito.<\/p>\n

La correcta implementaci\u00f3n de\u00a0pol\u00edticas y gesti\u00f3n de contrase\u00f1as<\/strong>\u00a0y\u00a0controles de acceso<\/strong>\u00a0son medidas de seguridad adicionales que pueden ayudar a reducir la probabilidad de ocurrencia del riesgo. Una estrategia de respaldos y un plan de contingencia bien implantados ayuda a prevenir la p\u00e9rdida de datos o la denegaci\u00f3n de los servicios en caso de ataques a los sistemas de informaci\u00f3n de la organizaci\u00f3n.<\/p>\n

Conclusi\u00f3n<\/h3>\n

A la hora de llevar adelante la gesti\u00f3n de seguridad de la informaci\u00f3n la organizaci\u00f3n deber\u00eda considerar la implementaci\u00f3n de medidas apropiadas, habiendo demostrado que el\u00a0recurso humano<\/a>\u00a0interno puede resultar una fuente importante y usualmente ignorada de delitos inform\u00e1ticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, tambi\u00e9n es igualmente importante darse cuenta que internamente existe una riesgosa exposici\u00f3n. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos cr\u00edticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cu\u00e1ndo est\u00e1 transgrediendo la ley, se le hace un monitoreo con distintas herramientas – y lo sabe – y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.<\/p>\n

Fuentes<\/h3>\n