En su escritorio, un administrativo tipea en su computadora para entrar a su muro de Facebook y ver en qué andan sus amigos. En la calle, una vendedora aprovecha un tiempo muerto en la visita a un cliente para mensajearse con su novio, desde el celular que le dio la empresa. Pero lejos de ignorar el uso que sus empleados hacen de los equipos de la compañía, los jefes están cada vez más al tanto de sus actividades, gracias a diversos programas informáticos. La necesidad de maximizar la seguridad informática ambientó la llegada del Gran Hermano a la oficina.

Hasta entonces, las empresas solían montar sus sistemas de seguridad para evitar ataques que, en su visión, tenían únicamente un origen externo. Sin embargo, la realidad demuestra que el mayor riesgo está puertas adentro de la organización: cuatro de cada cinco incidentes de seguridad son provocados, reveló en enero un estudio de la firma de seguridad Kaspersky.

Esos prejuicios van más allá de una merma de productividad: la instalación de aplicaciones y descarga de archivos no autorizadas por la empresa es una fuente de riesgo del mismo modo que el extravío de laptops y tablets, memorias USB y celulares. Ambas situaciones pueden derivar en la pérdida de información crítica (claves de acceso, números de cuenta bancaria o datos con los que se podrían falsificar la identidad de una persona) e incluso enfrentar reclamos de terceros que se vean perjudicados. El daño de la imagen corporativa también es esperable en esos casos.

En lo económico, el costo de estos incidentes alcanza a nivel global un promedio de US$ 650.000 en grandes empresas, y de US$ 50.000 en las pymes, informó Kaspersky en noviembre.

En Uruguay no hay estimulaciones al respecto, pero es claro que existe una mayor preocupación por velar por la seguridad informática a la interna de las compañías. “Las empresas han tomado medidas como incorporar personal idóneo, capacitar a su personal en aspectos de seguridad informática, contratar un oficial de seguridad y aplicar la familia de normas ISO 27000 de seguridad de la información o utilizar estas normas como guía”, explicó Leonardo Berro, director de la firma especializada Security Advisor.

Organizaciones gubernamentales, bancos, filiales de multinacionales, empresas de telecomunicaciones y firmas del sector industrial llevan la delantera en este campo, pero la actitud de las organizaciones varía según el porte y el rubro. Hay firmas que todavía ven la seguridad informática interna como algo secundario.

“Hay empresas que se toman el tema en serio y otras que no tienen la más mínima idea del peligro que tiene el uso de un celular conectado a la red Wifi interna”, ejemplificó José Luis López, director ejecutivo de Eset Uruguay.

La seguridad informática “es algo de lo que recientemente se está tomando más conciencia pero hay poca conciencia del riesgo que hay con los empleados”, subrayó Pablo Romero, gerente senior de consultoría informática de KPMG.

Ese riesgo es cada vez mayor. El desarrollo constante en las posibilidades tecnológicas ha incubado no solo los virus troyanos, sino nuevas infecciones como las páginas de descargas que esconden archivos maliciosos, los sitios apócrifos que cometen phishing y las memorias portables que esparcen los virus que otros les pasaron.

Ante esto, las empresas multiplican las soluciones en seguridad perimetral (firewalls, filtros de contenido de correo y navegación), seguridad interna (monitoreo de actividad en las bases de datos, sistemas de prevención de intrusos), seguridad del EndPoint (antimalware para PCs y servidores, gestión de dispositivos móviles y control de fuga de información) y control de acceso a sus sistemas (autenticación robusta o de doble factor).

La complejidad de esos sistemas y la necesidad de las empresas de enfocarse en su core business está llevando a la contratación de servicios gestionados de seguridad, dijo Berro. También recurren a consultores externos que realizan revisiones de seguridad externa y los ayudan a definir planes de contingencia, pero aún “falta la parte interna”, aclaró Romero.

Si bien el mercado local denota una tendencia general a invertir más en seguridad la situación dista de ser la ideal.

Un problema es que las empresas en general no cuentan con rubros para seguridad independientes a los de TI, lo que lleva a que a veces se prioricen otras compras con ese presupuesto. A su vez, como en Uruguay la mayoría de las empresas son pymes, esos recursos son acotados.

No obstante, también hay soluciones a su alcance: instalar un antivirus para 10 equipos cuesta US$ 260 por un año, y quienes renueven obtienen un descuento, destacó López, de ESET.

Aun así, la toma de conciencia del riesgo que enfrentan es el gran cambio que deben asumir las empresas. “Por más inversión que hagas en equipamiento y software, si no educás a tus empleados estás en peligro”, sentenció López.

Las campañas Bring your own device (“Traiga su propio dispositivo”), que comenzaron a implementar algunas empresas locales, son potencialmente peligrosas por un tema cultural: el empleado en su hogar quizá no tiene o no aplica con tanta rigurosidad las medidas que hay en la empresa. Por eso es necesario que la compañía aplique políticas claras para el manejo de sus equipos o de los del trabajador, llegado el caso, coinciden los especialistas.

El jefe todo lo ve

El uso de las redes sociales en el trabajo dejó de ser algo prohibido para convertirse en un hábito cada vez más aceptado, aunque eso no quiere decir que ocurra en forma desregulada o sin vigilancia.

De hecho, la tendencia es habilitar el acceso a las redes sociales pero en forma controlada: por ejemplo, el usuario puede entrar a su muro de Facebook pero no al chat, a los juegos o ver vídeos.

En contrapartida, el jefe todo lo sabe gracias a programas como los keyloggers (que registran lo que tipea el usuario), entre otros, respecto al uso que su personal hace de las redes sociales, la cuenta de correo corporativo y otras apps, con los equipos de la compañía.

A pesar de las quejas y los temores que suscita entre los trabajadores el hecho de sentirse “espiados”, la justicia ampara a la empresa.

“El criterio que han establecido los jueces es que en la medida en que el empleador otorga la computadora, el software, el correo electrónico y el acceso a Internet (…) eso tiene que estar afectado exclusivamente al trabajo y el empleado no debe tener ninguna expectativa de privacidad sobre el uso de las herramientas de trabajo” remarcó Nelson Larrañaga , responsable del Departamento Laboral y Seguridad Social del estudio FERRERE. El uso indebido de estos recursos puede ameritar la sanción o el despido del empleado por mala conducta, agregó Larrañaga.

Las reglas de juego deben ser claras y lo más adecuado es que la empresa advierta de antemano cuáles son sus potestades (revisar al personal a sus espaldas no es moralmente correcto), tal como hacen las multinacionales en sus contratos laborales. “Puedo usar la cuenta corporativa para mandarle un mail a un amigo pero sé que la empresa puede mirar mi correo”, remató Romero.

Artículo publicado en diario El País, en edición del viernes 16 de mayo de 2014.