Empleados de todo el mundo utilizan las redes empresariales para comunicarse, colaborar y acceder a datos de forma diaria. Las empresas, deseosas de aumentar la productividad, han adoptado la creciente integración de las comunicaciones en red y las operaciones comerciales y han alentado a los empleados a aprovechar tecnologías como los dispositivos inalámbricos y puntos de acceso público. La productividad está en auge y no cabe duda de ello, pero el volumen de filtraciones de empresa también lo está. Este tipo de modelo de trabajo tan sinérgico y eficiente aporta mayores riesgos, cuando se trata de mantener la integridad de los datos
Cuando estos se almacenan en una red colaborativa, el filtrado puede tener consecuencias masivas, ya que las organizaciones proporcionan un acceso fácil a las bases de datos para compartir información y la tecnología de almacenamiento y compresión ha permitido puntos finales más potentes (y más difíciles de blindar, en términos de protección de datos).
Un dispositivo móvil de 80 MB ahora contiene 6.000 documentos de Microsoft Word o 720.000 correos electrónicos y los nuevos dispositivos removibles de 64 GB permiten copiar todo un disco duro en un dispositivo del tamaño de un paquete de chicles. Estos dispositivos hacen que sea más fácil para los empleados, socios o ladrones de datos acceder a, mover o perder la propiedad intelectual o los datos de los usuarios o clientes.
Además de tener más datos en riesgo, las empresas, hoy en día, sufren mayores consecuencias si esos datos se pierden o se ven comprometidos. La pérdida de la propiedad intelectual, como en los planos de productos patentados, datos financieros y planes de fusión y adquisición, puede dañar la reputación de una empresa, socavar su marca o poner en peligro su ventaja competitiva. Los incumplimientos de los requisitos reglamentarios para manejar datos confidenciales de los clientes pueden reducir su confianza y dar lugar a multas de considerable cuantía, según está previsto por la LOPD y otros textos jurídicos de nuestro país y los marcos legales propios de cada Estado concreto.
Las empresas inteligentes instituyen políticas de seguridad y capacitan a los empleados sobre el riesgo de la pérdida de datos, pero la efectividad de esas acciones es cuestionable. En los últimos dos años, se reportaron pérdidas o robos más de 250 millones de registros confidenciales. Y esas pérdidas no siempre provienen de amenazas externas. Ya sea consciente o inconscientemente, inocente o maliciosamente, los empleados se involucran en conductas que aumentan el riesgo de pérdida de datos.
Para reducir la fuga de datos y proteger la información corporativa, las organizaciones de TI deben comprender cómo el comportamiento de los empleados aumenta el riesgo y tomar medidas para fomentar una cultura corporativa consciente de la seguridad y en la que los empleados cumplan con las políticas y los procedimientos instaurados.
Las filtraciones de datos de usuarios evaluadas a nivel internacional
Para comprender mejor los comportamientos de los empleados que ponen en riesgo los activos corporativos, Cisco encargó a la firma de investigación de mercado InsightExpress realizar un estudio que destaca los errores comunes de fuga de datos que los empleados cometen en todo el mundo.
Se realizaron dos encuestas en diez países: Estados Unidos, Reino Unido, Francia, Alemania, Italia, Japón, China, India, Australia y Brasil. Debido a que el objetivo del estudio era examinar las tendencias de comportamiento entre los empleados de todo el mundo, los diez países se seleccionaron en base a sus culturas sociales y comerciales, así como a la tenencia relativa de cada fuerza laboral en Internet y redes corporativas basadas en IP. En cada país, fueron encuestados 100 empleados y 100 profesionales de TI, lo que arroja un total de 2.000 encuestados.
Los resultados de la encuesta revelan una variedad de comportamientos arriesgados y una indiferencia generalizada hacia las políticas de seguridad. Uno de los hallazgos más notables es la prevalencia variable de comportamientos particulares en diferentes partes del mundo. Por ejemplo:
• China tiene un nivel tan alto de abuso de la tecnología de la información que los responsables de la toma de decisiones de TI auditan las computadoras en busca de contenido no autorizado.
• En Japón, el 65 % de los usuarios finales no se adhiere a la política de TI corporativa durante todo el tiempo y la investigación indica que el uso indebido de la tecnología de la información por parte de usuarios finales está aumentando.
• Los usuarios finales de India tienden a emplear el correo electrónico y la mensajería instantánea para uso personal y cambiar la configuración de seguridad de TI en las computadoras comerciales para poder ver sitios web no autorizados.
• Los empleados de Brasil usan computadoras comerciales para comunicaciones personales y actividades tales como la descarga de música.
• Los usuarios finales de Francia tienen la tasa más baja de cumplimiento de la política de TI de todos los países encuestados, con solo un 16 % que afirma adherirse a las políticas de seguridad durante todo el tiempo.
El nivel de conocimiento del gerente de TI sobre el comportamiento arriesgado de los empleados también varía en todo el mundo.
España y la Ley de Protección de Datos (LOPD): un caso aparte
En este sentido, quizás España presenta un nivel de desconocimiento de los procedimientos de protección de datos más alarmante que otros países. Prueba de ello es que el Ministerio de Energía, Turismo y Agenda Digital ha informado a más de veinte mil empresas de su situación de incumplimiento de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Para terminar, señalamos que ni la propia Administración cumple con el marco regulador. Un empresario entró en la web de la FNMT para conseguir un certificado digital y el Ministerio de Hacienda le envío su factura junto con las de otras 1.100 empresas que habían realizado el trámite el mismo día.
Quizás, ante este tipo de casos flagrantes de filtraciones de empresa, sea necesario replantear la formación y los procesos auditores que velan por el cumplimiento de la LOPD, ya que nuestro país no aprueba en la mayoría de ámbitos de especialización en materia de protección de datos.