El enemigo estuvo adentro

El enemigo estuvo adentro

Tres de cada cuatro empleadores temen que sus antiguos trabajadores tomen algún tipo de represalia informática. Sin embargo, son muy pocos los que toman medidas para evitarlo, aun cuando son sencillas y de bajo costo de implementación. 15 de Octubre 2010

La venganza es un plato que se sirve frío. Víctor no se había ido bien de su trabajo. Pocos meses antes había descubierto por casualidad en un sitio de búsquedas laborales que le estaban buscando un reemplazante, la relación estaba muy tirante con su jefe y, en el momento de la despedida, se dijeron cosas muy feas. Casi tres meses después, Víctor navegaba por Internet en su casa y decidió probar qué pasaba. Utilizó el acceso remoto para el software contable y... voilà. La clave seguía tan vigente como cuando iba a su antigua oficina casi a diario. A pesar de que sus ojitos brillaron de felicidad, no avanzó mucho más allá. “Hice algunas travesuras, pero no me animé a armarles un desastre”, confiesa desde su anonimato.

La situación de Víctor no es un caso aislado ni extraordinario. Claudio Pasik, director de la consultora NextVision, afirma que “no es raro que un administrador de una red corporativa, con acceso remoto, se vaya de una compañía sin que se le cancelen esos derechos”. Para el ejecutivo, “eso le permitirá, desde afuera, hacer lo que quiera: desde observar lo que sucede hasta provocar estragos”. 

Pasik recuerda un caso reciente, de 2009. Uno de sus clientes desvinculó al responsable del armado de la microinformática de la compañía. Más allá de no pertenecer más a la empresa, este individuo seguía leyendo el correo corporativo gracias al acceso remoto que él mismo había creado de manera oportuna. Pasaron varios meses hasta que la organización, debido a una situación casual, se dio cuenta de lo que sucedía. 

Porque éste es otro de los grandes puntos que hacen de este riesgo un verdadero problema: las firmas que no tienen medidas preventivas tomadas pueden tardar muchísimo tiempo en darse cuenta. O notarlo después de alguna tragedia de negocios, como que determinada cuenta bancaria quede vacía o que todos los clientes hayan decidido dejar de trabajar con la compañía luego de haber recibido correos electrónicos ofensivos, por citar sólo dos casos mínimos. El abanico de desastres posibles es tan amplio como la cantidad de ex empleados despechados que pululan por allí y la creatividad que tengan a la hora de establecer una venganza. 

Siempre te odiaré.. 
¿Qué puede motivar a un ex empleado a robar información de su antiguo empleador? “Es clave determinar en qué términos se produjo la desvinculación: una mala ruptura es, en general, lo que produce el intento de sabotaje, de robo de información, de acceso ilícito”, apunta Diego Taich, gerente de la práctica de seguridad de la información de PricewaterhouseCoopers.

Y se ve que los finales felices no son de lo más frecuente en el mundo empresario. Un estudio de la consultora Ernst & Young es categórico: nada menos que el 75 por ciento de los ejecutivos teme represalias informáticas de antiguos empleados. Sin embargo, sólo uno de cada cuatro consultados afirmó tener y realizar acciones para mitigar ese riesgo. Gabriel Zurdo, socio de la consultora, asegura que “en el caso de la Argentina los indicadores son similares a los del universo de la encuesta, con una particularidad: los ataques son más agresivos y creativos”. 

Del otro lado del mostrador, una encuesta global de Symantec descubrió que el 59 por ciento de los ex empleados admite haber robado información confidencial de las organizaciones en las que trabajaban, como ser las listas de contactos de clientes. Pero ese mismo estudio dejó un dato revelador: el 82 por ciento de los consultados aseguró que sus empleadores no llevaron a cabo una auditoría ni una revisión de documentos en forma física o digital antes del momento de la renuncia o el despido. Siguiendo con esta misma línea numérica, PricewaterhouseCoopers determinó que el 17 por ciento de los incidentes de seguridad de la información en la Argentina son originados por ex empleados, una cifra importante, aunque no tanto comparando con el 46 por ciento que proviene de actuales integrantes de la plantilla.

“El robo de información por parte de empleados es uno de los riesgos más altos a los que está sometida una empresa u organización si no hay una administración eficiente de la seguridad informática, basada en sistemas y en políticas”, afirma Marcos Boaglio, gerente de Ingeniería de Preventa de la empresa especializada en seguridad Symantec. No obstante, el ejecutivo advierte que “no deberíamos diferenciar entre ex empleados o personas que nunca han pertenecido a la empresa para considerar riesgos, ya que existen independientemente del vínculo de la amenaza con la organización”. 

Adentro y afuera .
Darío Lanati, project manager de la desarrolladora de software Globant, explica que “muchas empresas ponen el énfasis en los servicios que ofrecen hacia Internet, porque consideran que el riesgo está puertas afuera”. Esta forma de pensamiento, sin embargo, “es un riesgo en sí misma, ya que suelen desprotegerse las redes internas”, agrega el ejecutivo. Ariel Baggieri, gerente de la consultora de seguridad Etek Reycom, puntualiza, por su parte, que hay empleados cuyo accionar puede ser más nocivo que el de otros, como es el caso del personal del área de sistemas, con permisos amplios, que puede dejar una “puerta trasera” o back door, para entrar sin ser controlados. “Existen procedimientos de control ante desvinculación de perfiles críticos y siempre es mucho más efectivo en las empresas que tienen documentados sus procesos, ya que personal idóneo o un tercero puede aplicar el control en el momento preciso”, dice. El ejecutivo recuerda trabajos nocturnos de prevención de desvinculaciones críticas, durante los cuales se hicieron recuperación de contraseñas y bloqueo de accesos.

La prevención de este problema no es cara ni compleja. De hecho, muchas veces el conflicto se produce a partir de una deficiencia administrativa: que la baja de un empleado no es “visible” para las áreas que tienen que tomar medidas. Así, si el jefe directo de una persona del área de producción decide echarla o un directivo de finanzas considera que es hora de dejar de contratar a determinado proveedor, es posible que haya gente saliendo de la organización sin que recursos humanos o el área de seguridad se den por enterados. “Es necesario que exista un circuito formalizado de baja”, señala Taich, para quien “las grandes empresas suelen tener uno implementado, aunque es cierto que muchas debieron sufrir algún incidente para poder aceitar sus procesos”. Para Zurdo, “la generación de conciencia y la educación temprana son factores fundamentales para mitigar efectos e identificar tempranamente este tipo de situaciones”. El socio de Ernst & Young agrega que “la falta de conciencia ética, sobre todo en tiempos de crisis, agrava los efectos y consecuencias”. 

Más vale prevenir....
A la hora de poner manos a la obra, el directivo de PricewaterhouseCoopers también señala la aparición cada vez más frecuente de soluciones de Gestión de Identidad en las empresas grandes. Son herramientas que centralizan el proceso de altas, bajas y modificación de los usuarios, con un manejo automatizado que abarca a toda la compañía y que, cuando se produce un despido o una renuncia, inhabilita a la persona saliente a utilizar los sistemas e, incluso, le impide tener acceso físico a la organización, cuando ésta tiene algún sistema de molinetes de entrada, por ejemplo.  

Pasik recomienda ceñirse a la norma ISO 27000: “Una organización que realiza una gestión adecuada, analiza los activos y los riesgos asociados y establece los controles adecuados, queda menos vulnerable”. Gabriel Marcos, gerente de Producto de centro de datos, Seguridad y Outsourcing de Global Crossing, queda alineado con esta recomendación y recuerda que “esta norma define que la vinculación y desvinculación de empleados son procesos que mínimamente incluyen actividades como averiguación de antecedentes, destrucción de credenciales, acuerdos de confidencialidad y asignación y retiro de permisos, entre otros”.

Caio Campi, responsable de Tecnologías de la Información de la proveedora de software ERP Infor, recomienda la implementación de reglas sencillas, que van desde “la cancelación automática de los usuarios cuando dejan la organización hasta la auditoría constante de IT, cuentas y permisos, pasando por un mantenimiento detallado de los usuarios entrantes y salientes y el control de las cuentas sin uso”. Campi destaca la problemática de las grandes empresas en este sentido, en particular aquellas que tienen una alta rotación de personal. “Cuando la plantilla es chica, los controles son más fáciles de realizar”, acota.
La mejor estrategia parece ser, sin embargo, que ante cada despido el jefe directo, el gerente General y el encargado de RR.HH. de la empresa estrechen al echado en un profundo abrazo y le digan: “Nunca, pero nunca, olvides cuánto supimos quererte”.  



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Videos