La venganza de los `ex´ Cómo reforzar la frontera `usuario´ y `contraseña´
Los sabotajes incluyen el robo, la manipulación y el borrado de información Chris Hondros mauricio ascione
Domingo , 21-02-10
Resentidos, despechados como los amantes. El sentimiento que provoca la comunicación de un despido no dista mucho del que produce el conocimiento de cualquier noticia traumática. «Se han descrito cinco fases en estos procesos: negación, ira, negociación, depresión y aceptación. De ahí que, al enterarte que te han despedido, lo ideal es alejarte de la empresa sin actuar ni comprometerte a nada. Intenta mantener la sangre fría, porque todas las reacciones que brotan de un `calentón´ son erróneas», aconseja el psicólogo Marcos Chicot, autor del libro `¡Me han despedido!´.
Sin embargo, no todo el mundo termina por aceptar el trago de verse en la calle y, acomodados en ese sentimiento de ira sobre el que alerta Chicot, urden o improvisan una venganza contra su antigua empresa. «Cada vez hay más casos en los que los sistemas de información y los datos de las compañías son objeto de robo o manipulación por parte de ex empleados», confirma Marc Martínez, socio del área de Information Technology Risk Advisory de Ernst & Young, que ha publicado el informe `2009 Global Information Security Survey´.
Basado en entrevistas a ejecutivos de 1.900 organizaciones de 60 países, el estudio desvela que las represalias por parte de antiguos empleados, así como la escasez de presupuesto para acometer un buen plan de seguridad, suponen los mayores quebraderos de cabeza de los directivos que gestionan la seguridad de la información en las empresas.
El Gabinete Profesional de Peritos Judiciales también advierte un aumento exponencial de sabotajes informáticos como respuesta al despido desde que empezó la crisis. Manel Cruz, su gerente, estima que, en el último año, han cursado un 60% más de estos casos. «Lo más habitual es sacar información de la compañía o bien borrarla. En el 80 o 90% de las ocasiones, sin embargo, la información borrada se recupera, siempre y cuando la máquina no se haya tocado tras el sabotaje».
La forma de la venganza puede ser tan variada como los motivos que subyacen tras ese comportamiento. En algunos casos, como en la venta de datos, patentes o diseños a la competencia o el robo de la cartera de clientes para emprender en solitario, el despechado busca lucrarse; en otros, sin embargo, se comporta como un animal herido que sólo quiere hacer daño. En este epígrafe se encuadran las denuncias por incumplimiento de la Ley de Protección de Datos, que acaban saldándose con multas para la empresa, y las denuncias contra pymes por el uso de `software´ ilegal.
Con la proliferación de sencillos dispositivos electrónicos con capacidad para grabar grandes volúmenes de datos y el deficiente control sobre su información crítica, las empresas están cada día más expuestas a las represalias de sus `ex´.
Uno de los datos más llamativos del estudio de Ernst & Young es el relativo a las pocas compañías que cifran sus ordenadores portátiles, sólo el 41% lo hace. El bajo porcentaje sorprende tanto por el creciente número de incidentes derivados de la pérdida o robo de portátiles como por la gran variedad de tecnologías que combaten estos percances a muy bajo precio.
Prevención, prevención, prevención. Ésta es la consigna de José Manuel Rodríguez, abogado de CMS Albiñana & Suárez de Lezo, para evitar las fugas de información. El abogado recomienda, por ejemplo, introducir cláusulas de confidencialidad en los contratos, restringir el acceso de los trabajadores a según qué información, redactar códigos de conducta donde se advierta y explique qué puede ser causa de despido, anular todos los accesos al sistema (`webmail´...) y a la propia empresa desde que el despido es comunicado e, incluso, incorporar medidas de vigilancia y control de la plantilla, sin vulnerar, eso sí, el Estatuto de los Trabajadores. «El trabajador tiene que estar advertido previamente. Pero hay una sentencia del Tribunal Supremo de 2007 que ampara la monitorización de las computadoras. Hasta entonces, los ordenadores en España se equiparaban a las taquillas», explica Rodríguez.
Dada su renuencia para invertir en seguridad, las empresas pueden terminar pagando caro sus descuidos. Por ejemplo, ante los casos de empleados que utilizan información corporativa para enriquecerse con una actividad paralela, Marc Martínez afirma que es mucho más fácil demostrar el delito cuando el profesional está dentro de la empresa -«se pueden reconstruir los archivos de varios meses sin que el investigado lo sepa»- que una vez fuera. Tampoco son fáciles de demostrar los robos de clientes o de estrategias de negocio. «Muchas empresas se han querellado contra antiguos empleados que se lo han montado por su cuenta -añade José Manuel Rodríguez-. Pero pocas veces el Tribunal de Defensa de la Competencia ha fallado a su favor».
Seguridad
Usuario y contraseña. Ésta suele ser la única frontera que separa la información de una empresa de sus potenciales usuarios. Pero, dado que se trata de una precaución demasiado genérica, a veces no es suficiente. La gestión de identidades, que permite controlar los permisos de acceso de cada empleado a los sistemas corporativos, va un poco más allá.
También aportan garantías adicionales de seguridad los certificados digitales, que incluyen una tarjeta con chip. «Esto se puede complementar con algún tipo de información biométrica, que añade al certificado el control de la huella. Cada vez se emplea más este tipo de soluciones, sobre todo en entidades financieras», afirma Marc Martínez, socio del área de Technology Risk Advisory de Ernst & Young. La firma de servicios profesionales dispone de un laboratorio de simulación que permite adelantarse y, por tanto, prevenir el espionaje informático.
Por lo que respecta a los sistemas de blindaje con que las organizaciones pueden proteger su información crítica, es posible, por ejemplo, implantar políticas de seguridad que eviten la copia de documentos a soportes CD o DVD o, incluso, impedir su envío por correo electrónico.
El estudio `2009 Global Information Security Survey´ pone de manifiesto que «el nivel de riesgo, tanto interno como externo, sigue aumentando». De ahí que el 40% de los directivos consultados se haya fijado como segunda prioridad para los próximos meses implantar o mejorar las tecnologías de fuga de datos.
Prevención
Los despechados suelen recurrir a los sabotajes informáticos
Sólo cuatro de cada diez empresas cifran sus ordenadores portátiles

Enviar a:

¿qué es esto?