lunes, 29 de noviembre de 2010

LAS PERSONAS, FACTOR CLAVE EN LA SEGURIDAD DE LA INFORMACIÓN

Por: Marco Muñoz
Psicólogo CAP


Las estadísticas señalan pérdidas en E.U. de hasta 250 billones de dólares por robo de información, además el 43% de empresas encuestadas, señalaron robos internos de información. Aunque en Colombia no hay registros al respecto, se considera que nuestro país no es una excepción y las empresas enfrentan un grave problema.

En Colombia en organizaciones en donde se hace uso intensivo de la información, se reportan frecuentemente fraudes y uso abusivo, constituyéndose en un grave problema tanto en el sector público como privadas.

La mayoría de los problemas los generan personas internas, pues conocen el valor y uso de la información, esto incluye tanto empleados como exempleados, personal contratista a cargo de sistemas y digitadores. Por lo general la información se pierde o se cambia. Cuando es manejada por personas externas, terceros no autorizados o entregada equivocadamente, este riesgo aumenta considerablemente.


LOS PRINCIPALES RIESGOS OCASIONADOS DIRECTAMENTE POR PERSONAS SON:

De integridad: Exactitud y validez. Ocurre cuando el empleado o contratista no procesa toda la información o lo hace de manera incompleta.
Para minimizarlo debe buscarse que los datos críticos no puedan ser borrados o falseados.

Confidencialidad: Se producen por personas que tienen acceso a documentos, sistemas de información o ambientes de procesamiento.
Se reducen asegurando la confiabilidad de las personas autorizadas y evitando que cualquier persona tenga acceso físico a los equipos.

Relevancia: Cuando se genera información no útil para las operaciones, esto eleva costos, almacena información innecesaria y ocasiona un mal manejo de los recursos informáticos.
Se reduce con un diseño eficiente del sistema que garantice que no se produzca sino la información útil y que asegure que ésta sea conocida solamente por las personas autorizadas.

EL RIESGO DE CONFIDENCIALIDAD

Para proteger la información del mayor riesgo, que pueden ser las personas que tienen acceso a ella debemos ser conscientes de dos grandes grupos de riesgos:

A. Cultura y hábitos de protección de información

Frecuentemente en las compañías tienen acceso a la información personas no autorizadas. Esto ocurre porque:
1. Es corriente la práctica de compartir equipos indiscriminadamente.
2. Los paswords se comparten, no se cambian frecuentemente y muchas veces están escritos y accesibles.

Para esto, es necesario establecer procedimientos precisos de protección de información, basados en políticas de compañía, en donde la alta dirección muestre su compromiso con este tema sensible.
Lo anterior debe ir acompañado de un programa de concientización y promoción de hábitos seguros que permita que la protección de la información haga parte de los hábitos y valores de la organización.

B. Integridad del personal propio y outsourcing.

La información o los equipos son manejados o están al alcance de personal propio o outsourcing, sobre el cual generalmente, no hay garantía de confiabilidad, todo descansa sobre la confianza en la compañía contratista y sus sistemas de selección. Igual sucede con el personal de mantenimiento de los sistemas quienes usualmente son cambiados frecuentemente.

Estos riesgos se reducen:

1. Estableciendo un sistema de control dual en donde un tercero se ocupa de los procesos orientados a asegurar la integridad del personal en misión (verificación de documentos, referencias, estudios, visita domiciliaria y pruebas psicotécnicas de confiabilidad).

2. Implementando un sistema de evaluación con perfiles definidos y requisitos de ingreso establecidos por el departamento de personal, de las empresas encargadas de guardar los backups y de la implementación de los procesos de seguridad electrónica.

3. Realizando procesos de auditoría de Recursos Humanos (orientado a seguridad) dirigido a las compañías que suministren personal en misión y aquellas que presten servicios en donde su personal penetre las instalaciones de la empresa o tenga acceso físico o virtual a sus sistemas de información. La auditoría debe evidenciar el óptimo desempeño de procesos de recursos humanos tendientes a reducir la posibilidad de que personas no confiables tengan acceso a la información de la compañía.


4. Un proceso de selección orientado al aseguramiento de la integridad del personal deberá contemplar por lo menos los siguientes puntos:

• Políticas de selección e incorporación en donde se señale expresamente la necesidad de tener en cuenta la seguridad al realizar el proceso de selección de personal

• Fuentes de reclutamiento definidas

• Hoja de vida orientada a la seguridad y parámetros de estudio en función de seguridad

• Un proceso de plena verificación de identidad

• Visita domiciliaria con enfoque de seguridad y realizada por personal idóneo

• Validación de antecedentes laborales y académicos

• Exploración orientada a la seguridad de referencias personales y familiares, usos y costumbres

• Verificación de autenticidad de documentos académicos y laborales

• Evaluación psicotécnica orientada a la confiabilidad


Solo un esfuerzo integral que combine medidas físicas y electrónicas con el aseguramiento de la integridad del personal propio y en misión soportado en un programa de cultura de seguridad y autoprotección que promueva el compromiso, el comportamiento ético y las mejores prácticas, podrá dar cuenta de la grave amenaza que nos plantea el fraude, la corrupción y el afán por el lucro fácil.