Riesgos y Errores
Riesgos y Errores
Riesgos y Errores
realizar la actividad E6
Informe técnico
Resumen ejecutivo
Hoy en día las empresas son cada vez más distribuidas y móviles, lo cual les obliga a enfrentar
desafíos en la protección de su información confidencial. Con el objeto de comprender esta
situación, Cisco encargó a InsightExpress, una compañía independiente de investigación de
mercado, que realizara un estudio que abarcara a empleados y profesionales de TI en diversos
países. Como parte del estudio, se realizaron encuestas en 10 países que Cisco seleccionó debido
a las diferencias en sus culturas sociales y comerciales. En cada país, se encuestó a 100 usuarios
finales y 100 profesionales de TI, cubriendo así a un total de 2000 personas. La investigación
descubrió que a pesar de las políticas, procedimientos y herramientas de seguridad actualmente en
uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen en peligro los
datos personales y empresariales. Tales conductas incluyeron:
Para reducir la fuga de datos, las empresas deben integrar la seguridad en su cultura empresarial y
evaluar constantemente los riesgos de cada interacción con redes, dispositivos, aplicaciones, datos
y, por supuesto, otros usuarios.
Introducción
Los empleados de todo el mundo utilizan las redes comerciales para comunicarse, colaborar ente
sí y acceder a información. Las empresas ávidas de aumentar su productividad buscan integrar
cada vez más las comunicaciones de red con las operaciones comerciales, e incentivan a que sus
empleados aprovechen tecnologías tales como dispositivos inalámbricos y puntos de acceso
públicos. La productividad aumenta, pero la colaboración basada en la red coloca la información
empresarial en un entorno más amplio que es más vulnerable y difícil de proteger.
Los datos almacenados en la red empresarial también corren riesgo puesto que están más
accesibles que nunca. Las organizaciones facilitan el acceso a sus bases de datos a fin de
compartir y almacenar información, y la tecnología de compresión ha permitido puntos terminales
de mayor capacidad (y mayor riesgo). Un dispositivo móvil de 80 MB ahora almacena 6000
documentos de Microsoft Word o 720.000 correos electrónicos, y los nuevos dispositivos
extraíbles de 64 GB permiten copiar un disco duro entero en un dispositivo del tamaño de un
paquete de chicle.
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 10
Informe técnico
Estos dispositivos hacen más fácil que los empleados, partners o ladrones de datos accedan,
muevan o pierdan propiedad intelectual o datos de clientes. Además de tener más información en
riesgo, las empresas de hoy sufren consecuencias más graves si estos datos se pierden o ven
comprometidos. La pérdida de propiedad intelectual, como diseños de productos privados, datos
financieros, planes de fusiones y adquisiciones, puede dañar la reputación de una empresa,
debilitar su marca, o menoscabar su ventaja competitiva. Las infracciones a los requisitos
normativos que regulan el manejo de datos confidenciales de clientes pueden mermar la confianza
de los clientes y acarrear multas.
Las empresas inteligentes instituyen políticas de seguridad y capacitan a sus empleados sobre el
riesgo de pérdida de información, pero la eficacia de dichas medidas es cuestionable. En los últimos
dos años, se informó sobre la pérdida o robo de más de 250 millones de registros confidenciales;1
y dichas pérdidas no siempre se deben a amenazas externas. Ya sea a sabiendas o no, en forma
inocente o maliciosa, los empleados exhiben conductas que incrementan el riesgo de perder datos.
Para reducir la fuga de datos y proteger la información empresarial, las organizaciones de TI deben
comprender cómo la conducta de los empleados puede acrecentar los riesgos y deben tomar
medidas para fomentar una cultura empresarial consciente de la seguridad en la que los empleados
acaten las políticas y los procedimientos.
Para comprender mejor las conductas de los empleados que ponen en riesgo los recursos
empresariales, Cisco encargó a InsightExpress, una compañía independiente de investigación de
mercado, que realizara un estudio en diversos países representativos para detectar los errores
comunes que cometen los empleados y que favorecen la fuga de información. Se realizaron dos
encuestas en 10 países: Estados Unidos, Reino Unido, Francia, Alemania, Italia, Japón, China,
India, Australia y Brasil. Como el objetivo del estudio era examinar las tendencias de conducta de
empleados a nivel mundial, los 10 países se seleccionaron por tener culturas sociales y
comerciales distintivas, así como por el tiempo que la fuerza laboral de cada uno llevaba utilizando
Internet y redes empresariales basadas en IP. En cada país, se encuestó a 100 empleados y 100
profesionales de TI, cubriendo así a un total de 2000 personas.
● China presenta tal nivel de abuso tecnológico que los responsables de tomar decisiones de
TI auditan las computadoras en busca de contenido no autorizado.
● En Japón, el 65% de los usuarios finales no acata de manera constante las políticas de TI de
su empresa, y el estudio indica que el abuso tecnológico por parte de los usuarios finales está
en aumento.
● Los usuarios finales en India tienden a emplear el correo electrónico y la mensajería
instantánea para fines personales y modifican la configuración de seguridad de TI en las
computadoras empresariales para poder ver sitios web no autorizados.
● Los empleados en Brasil utilizan las computadoras empresariales para fines de comunicación
personal y para actividades como descargar música.
● Los usuarios de Francia tienen la tasa más baja de cumplimiento de políticas de TI de todos
los países encuestados, ya que sólo el 16% de los empleados afirmó cumplir de manera
constante las políticas de seguridad.
El nivel de conciencia que tienen los administradores de TI en relación con las conductas
arriesgadas de los empleados también varía entre los diferentes países. En China, los
administradores de TI confrontan directamente a los empleados por el desacato a las políticas de
seguridad. Los profesionales de TI en India tienen poca conciencia sobre el grado en que los
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 10
Informe técnico
empleados menoscaban la seguridad, ya que menos de la mitad de ellos cree que los usuarios
finales utilizan aplicaciones y programas no autorizados en las computadoras de sus empresas.
Brasil demostró la mayor correlación entre el abuso de TI por parte de los empleados y la
percepción de dicha conducta por parte de los responsables de tomar decisiones de TI, ya que
dichos encargados evalúan y actualizan las políticas empresariales con mayor frecuencia que en
ningún otro país que haya participado en la encuesta.
1 http://www.privacyrights.org, 2008
Estas diferencias representan un desafío para las empresas multinacionales que intentan mantener
políticas de seguridad centralizadas en todos sus sitios distribuidos y departamentos de TI. Y a
medida que más empleados se unan a la tendencia mundial de trabajar desde el hogar y mientras
están de viaje, la separación entre la vida laboral y personal continuará desdibujándose. La
combinación entre las conductas culturales y el uso de teléfonos móviles, equipos portátiles,
aplicaciones Web 2.0, video y otros medios sociales en el hogar, el trabajo y de viaje crea un
entorno aún más complejo de resguardar. Las organizaciones de alcance mundial deben
comprender el entorno laboral actual y tomar en cuenta las diferencias culturales en cuanto al
comportamiento y su impacto sobre la vulnerabilidad de la información, y adaptar localmente la
educación, las políticas y las decisiones tecnológicas según corresponda.
Los empleados revelaron una impresionante serie de conductas que ponen en riesgo la información
y los recursos empresariales, a pesar de las políticas que establecen procedimientos correctos. Los
siguientes ejemplos muestran como los empleados pierden y filtran información ya sea a sabiendas
o no.
El uso de aplicaciones no autorizadas en las redes empresariales puede constituir un riesgo para la
información empresarial confidencial y la información personal de los empleados. El correo
electrónico personal es la aplicación no autorizada que más se utiliza, seguida de actividades
bancarias en línea, pago en línea de cuentas, compras en línea y mensajería instantánea.
Estas aplicaciones implican un alto riesgo de pérdida de información por parte de los empleados y
de robo de datos por parte de piratas informáticos debido a que con frecuencia no son supervisadas
y no se adhieren a las normas de seguridad de la empresa. Además, el uso de estas aplicaciones
conlleva el riesgo de contagio de sitios maliciosos.
●El 78% de los empleados accedió a correo electrónico personal desde computadoras
empresariales. Este número aproximadamente duplica el nivel de uso autorizado.
●El 63% de los empleados admite usar una computadora laboral para uso personal todos los
días, y el 83% admite hacerlo de vez en cuando.
●El 70% de los profesionales de TI cree que el uso de programas no autorizados fue
responsable de hasta la mitad de los incidentes de pérdida de información en sus empresas.
Esta creencia está más extendida en los Estados Unidos (74%), Brasil (75%) e India (79%).
Muchos empleados usan a sabiendas computadoras empresariales en formas reñidas con las
políticas de seguridad de TI. Algunos ejemplos incluyen alterar las configuraciones de seguridad y
compartir dispositivos laborales e información confidencial con personas ajenas a la empresa. Los
empleados anulan las configuraciones de TI para descargar música, comprar en línea, pagar
cuentas y, en algunos casos, acceder a juegos de azar y pornografía en línea. Aproximadamente un
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 10
Informe técnico
cuarto de los empleados encuestados admitió compartir información confidencial con amigos,
familiares o incluso extraños, y casi la mitad de ellos comparte sin supervisión dispositivos laborales
con personas ajenas a la empresa. Estas conductas facilitan que propiedad intelectual de la
empresa llegue a manos de personas que constituyen una grave amenaza para la seguridad y la
rentabilidad empresarial.
China: 42%
Brasil: 26%
India: 20%
Brasil: 47%
India: 27%
Reino Unido: 26%
Italia: 22%
Alemania: 24%
China: 43%
India: 28%
● En total: 44% (el 32% de los encuestados compartió dispositivos laborales con colegas y el
19% lo hizo con amigos y familiares ajenos a la empresa)
La figura 1 muestra la frecuencia con que los empleados utilizan computadoras de sus empresas
para actividades personales.
Nunca
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 10
Informe técnico
Figura 2. Los responsables de tomar decisiones de TI enfrentan accesos no autorizados tanto físicos como a
través de la
No No sabe/No está seguro Sí
Total
EE.UU.
Brasil
Reino Unido
Francia
Alemania
Italia
China
Japón
India
Australia
● El 39% de los profesionales de TI afirmó que ha enfrentado accesos no autorizados por parte
de un empleado a zonas no autorizadas de la red o de las instalaciones empresariales. Esto
fue cierto para casi la mitad de ellos en Brasil (49%) y Estados Unidos (46%), y el 63% en
China. Aunque Japón (28%) y Alemania (26%) presentaron el menor número de incidentes, en
todos los países al menos un cuarto de los profesionales de TI ha enfrentado esta situación.
● El acceso no autorizado tanto físico como a través de redes fue más frecuente en las
empresas medianas y grandes (46%), pero en las pequeñas empresas estos incidentes
también se producen con frecuencia (32%).
● El 22% de los empleados en Alemania permite que personas ajenas a la empresa deambulen
sin supervisión por las oficinas.
Debido a que las empresas actualmente operan en forma cada vez más distribuida, los empleados
móviles aumentan el riesgo potencial de pérdida de información. Conductas tales como transferir
archivos de un dispositivo laboral a una computadora doméstica que no esté protegida según las
normas del departamento de TI, usar medios de comunicación personales que no sean tan seguros
como medios de comunicación empresariales, hablar sobre temas confidenciales de la empresa en
lugares donde otras personas puedan escucharlos, y no utilizar un protector de privacidad en un
equipo portátil al trabajar en un lugar público, facilitan el robo de información. Los empleados
tampoco protegen debidamente los dispositivos de almacenamiento y los equipos portátiles, que
pueden perderse o ser robados.
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 10
Informe técnico
Cerrar la sesión y usar contraseñas son algunos de los métodos más antiguos y simples de la
seguridad informática. Cuesta imaginar que a estas alturas haya usuarios que pasen por alto estos
pasos básicos de seguridad, pero lo hacen…y en cifras sorprendentes. Al menos uno de cada tres
empleados afirmó que deja su computadora con sesiones activas y desbloqueada cuando se aleja
de su escritorio, como por ejemplo para almorzar o regresar a su hogar al fin de la jornada. Otra
práctica común consiste en dejar un equipo portátil sobre el escritorio toda la noche, a veces sin
cerrar la sesión. Uno de cada cinco empleados almacena datos de inicio de sesión y contraseñas
en su computadora o los anota y deja en su escritorio, en un cajón sin llave, o en notas pegadas en
su computadora.
Generar estadísticas que muestren cuántos empleados exhiben conductas que merman la
seguridad de la información es un ejercicio valioso, pero lo realmente importante es comprender
cómo cambiar dichas conductas y aumentar la seguridad. Para ello, las empresas deben
comprender qué piensan los empleados sobre la seguridad y por qué ignoran o vulneran los
procedimientos empresariales.
La encuesta de InsightExpress fue más allá de las estadísticas y preguntó a los empleados por qué
se comportaban de una forma que ponía en riesgo la información. Luego, la encuesta presentó las
respuestas en el contexto de empresas grandes y pequeñas, diferentes culturas y las perspectivas
de los empleados y los profesionales de TI.
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 10
Informe técnico
Los resultados de la encuesta revelaron en general que a menudo el incumplimiento de las normas
por parte de los empleados pesa más que la importancia que le dan a cumplir con las políticas de
seguridad. Por ejemplo, cuando la encuesta les preguntó a los empleados por qué comparten
información empresarial confidencial, el 44% de ellos respondió que “necesitaba cotejar ideas con
otras personas”. Otras de las razones fueron: “Necesitaba desahogarme” (30%) y “No vi nada malo
en ello” (29%). Cuando se les preguntó por qué alteraban las configuraciones de seguridad en sus
computadoras en un claro desacato de las medidas de seguridad de sus empresas, la respuesta
fue más descarada, ya que el 35% cree que eso “no le incumbe a nadie”. Y estos empleados
incluyeron al personal de TI en su respuesta. El cincuenta y dos por ciento simplemente respondió
que quería ver sitios no autorizados, sin importar que esto contradijera la política empresarial.
El treinta y cinco por ciento sintió que nadie se iba a enterar.
La figura 3 muestra en forma gráfica las razones que dan los empleados para alterar las
configuraciones de seguridad de sus computadoras.
No es asunto de mi empresa;
ellos debieran respetar mi privacidad
Otra
A veces la razón de poner la información en riesgo fue monetaria. Simplemente, para una familia u
hogar es más económico usar una computadora suministrada por el empleador. Esta es una razón
muy poderosa en culturas donde vive junta la familia extendida, pero aumenta la posibilidad de que
personas que no sean empleados accedan a información de la empresa.
Por supuesto, en algunos casos, el problema no es que el empleado ignore la amenaza, sino que el
empleado en sí constituye la amenaza. Si un empleado se siente infeliz en su trabajo, descontento
con su jefe, o vengativo por alguna razón, puede convertirse en una “amenaza interna” capaz de
dañar o causar una fuga de información en forma deliberada.
A pesar del esfuerzo del departamento de TI, es posible que algunos empleados no comprendan los
procedimientos de seguridad establecidos en sus entornos laborales. La comparación entre el uso
que le dan los empleados a los servicios de comunicación y los usos autorizados por sus
departamentos de TI revela algunas diferencias interesantes. Lo más evidente, es que un porcentaje
significativamente mayor de usuarios finales utiliza correo electrónico personal en el trabajo (49%)
en comparación con la proporción que afirma que dicha práctica es aprobada por la empresa (40%).
En China y Japón, esta brecha es aún mayor.
Las cifras de la encuesta indican que a pesar de que muchas empresas han intentado evitar la
filtración de información por parte de sus empleados, sus esfuerzos no están dando los resultados
deseados.
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 10
Informe técnico
Debido a que la fuga de información por parte de los empleados se debe principalmente a la
ignorancia, el desacato y la apatía, claramente no existe una solución mágica para salvaguardar la
información empresarial, especialmente cuando las empresas y sus datos se tornan cada vez más
móviles y operan con límites virtuales en vez de físicos. La forma más eficaz de prevenir la fuga de
información es mediante un esfuerzo continuo y generalizado que sea holístico y estratégico.
Las empresas deben comenzar por evaluar la conducta de los empleados y los riesgos asociados
basándose en factores tales como el país y el panorama de amenazas. Luego de acuerdo con dicha
evaluación pueden diseñarse planes de educación sobre amenazas, capacitación en seguridad y
procesos comerciales. Ése es el momento de realizar inversiones pertinentes en tecnología de
seguridad.
Esta estrategia integral es la mejor forma de lograr un nivel de seguridad sostenible. Establece la
base para evaluar los riesgos de cada interacción entre usuarios y redes, puntos terminales,
aplicaciones, datos y, por supuesto, otros usuarios. Pero lo más importante es que hace que la
seguridad sea una parte integral de la cultura empresarial, tal como lo es para la infraestructura de TI.
A continuación se indican algunas medidas tangibles que pueden implementarse para evitar la fuga
de información.
● Establecer herramientas y procesos que rastreen el movimiento de datos para saber dónde
se almacenan, cómo se accede a ellos y quiénes los utilizan.
● Identificar los tipos de datos que requieren un régimen especial de protección tanto en el
interior como exterior de su empresa.
● Considerar nuevos métodos de seguridad para las herramientas y capacidades de nueva
generación.
Proteja la información empresarial como si fuera su posesión más valiosa — Enséñele a sus
empleados que la información empresarial es esencialmente dinero: perder o favorecer la fuga de
datos empresariales es lo mismo que tirar dinero a la basura y dejar que la competencia lo
encuentre y utilice en su contra. Y es muy probable que la información se use para perjudicar a la
empresa en cuanto a su marca, ingresos, cotización bursátil y confianza del mercado. Los
empleados deben comprender y poner en práctica los siguientes procedimientos básicos de seguridad:
● Para proteger los sistemas utilice sólo aplicaciones y métodos de acceso autorizados,
mantenga actualizado el software de seguridad además de las aplicaciones antivirus, respete
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 10
Informe técnico
● Regirse por el código de buena conducta comercial de la empresa al llevar a cabo sus
actividades laborales cotidianas, especialmente aquéllas relacionadas con la seguridad de la
información.
● Estar constantemente atentos al entorno y pensar en la seguridad en cada acción que
realicen en la oficina, el hogar y cuando estén de viaje.
● Aprender cómo manejar los diferentes niveles de confidencialidad para los documentos de su
empresa. Esto incluye comprender las diferencias entre información “pública”, “confidencial”,
“sumamente confidencial” y “restringida”.
Fomente una cultura y un entorno de honestidad y confianza — Los empleados deben sentirse
cómodos con el panorama de seguridad de la empresa para poder poner en práctica las directivas
de seguridad. Deben saber a qué organización de seguridad informar sobre conductas sospechosas,
ataques reconocibles o incidentes de seguridad (incluso si fueron causados por ellos mismos), y
deben sentirse cómodos iniciando dicho contacto. Los profesionales de TI deben enseñar a los
empleados:
● Cómo evitar los errores de seguridad destacando las áreas de mayor vulnerabilidad.
● Prácticas adecuadas para proteger los sistemas y los datos.
● Qué constituye un incidente de seguridad informática y cómo informar de ello.
● Instruir y capacitar a los empleados con respecto a las expectativas que tiene la empresa en
relación con la protección de datos.
● Incluir capacitación y prácticas de seguridad en la orientación de nuevos empleados.
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 10
Informe técnico
● Capacitar a los empleados sobre las medidas de seguridad que deben considerar al
responder el teléfono y al conectarse a sitios Web 2.0, redes sociales y sitios de colaboración.
● Capacitar a los empleados sobre temas de seguridad física, como permitir que sólo empleados
con credenciales de seguridad accedan a los edificios.
Un futuro seguro
Prevenir la fuga de información es un desafío que incumbe a toda la empresa. Mientras más
personas comprendan dicho desafío, desde profesionales de TI, ejecutivos a empleados de todos
los niveles de responsabilidad, mejor podrá proteger la empresa sus recursos cruciales. La meta es
que cada persona, en cada nivel, esté convencida de que la seguridad empresarial es fundamental,
comprenda las políticas y los procedimientos para lograr un entorno seguro y ponga en práctica las
medidas necesarias cada día. Tal cambio cultural es todo un proceso —y según la encuesta de
InsightExpress, uno al que las empresas de todo el mundo deben dedicar más recursos—. Con la
voluntad y las inversiones suficientes, las empresas pueden reducir la fuga de información. La
recompensa valdrá el esfuerzo.
Cisco has more than 200 offices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices.
©2007 Cisco Systems, Inc. All rights reserved. CCVP, the Cisco logo, and the Cisco Square Bridge logo are trademarks of Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn is a service mark of
Cisco Systems, Inc.; and Access Registrar, Aironet, BPX, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems
Capital, the Cisco Systems logo, Cisco Unity, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, IP/TV, iQ Expertise, the
iQ logo, iQ Net Readiness Scorecard, iQuick Study, LightStream, Linksys, MeetingPlace, MGX, Networking Academy, Network Registrar, Packet, PIX, ProConnect, ScriptShare, SMARTnet, StackWise, The Fastest Way to
Increase Your Internet Quotient, and TransPath are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.
All other trademarks mentioned in this document or Website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0705R)
© 2008 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 10