Las empresas, grandes y pequeñas, nunca han sido tan vulnerables a los ataques cibernéticos intencionales o no intencionales.
El acceso a Internet brinda a muchos empleados los medios para hacer mejor su trabajo, pero es un talón de Aquiles, un punto débil para la defensa de la compañía ante la filtración de información confidencial y el ingreso de software peligrosos.
La mayoría de las empresas ya cuenta con alertas que detectan la amenaza externa proveniente de malware o programas maliciosos (cualquier aplicación creada con intenciones de molestar o dañar las computadoras infectadas), como virus, troyanos y spybots (software espía), tienen instalado un firewall y contratan a una firma externa para que haga un seguimiento y desinfecte su tráfico de Internet.
Sin embargo, crece el debate sobre qué grado de libertad deberían tener los empleados en su acceso a los sitios de Internet: "La mayoría de las compañías aplica algún tipo de limitación en cuanto a lo que su personal puede hacer en Internet", dijo Bob Tarzey, director de servicios de la consultora Quocirca.
Esencialmente, hay tres razones por las que las organizaciones deberían prestar atención a cuáles son los sitios Web que están visitando sus empleados.
En primer lugar, la productividad. Un empleado que dedica tiempo a MySpace o YouTube probablemente esté dejando de trabajar para ocuparse de eso. Hay estadísticas que indican que, en promedio, un trabajador con acceso total a Internet pasa entre dos y cuatro horas semanales navegando en la Web.
Peter Watkins, CEO de Webroot, firma especialista en antivirus con sede central en Estados Unidos, asegura que el 90% de las operaciones de compraventa amateur de acciones, el 50% de las compras online y la mayoría de las descargas de material pornográfico se realizan durante el horario laboral, porque los empleados aprovechan la mayor amplitud de banda que tienen en la oficina, comparada con su conexión hogareña.
"Muchas empresas pequeñas y medianas se sorprendieron al descubrir la cantidad de tiempo que su personal dedica a navegar en Internet", dice Harnish Patel, del grupo estadounidense, SurfControl.
La segunda razón es la filtración de datos: Mark Sunner, analista de seguridad en MessageLab, un grupo de seguridad para correo electrónico, señala que ha detectado una disminución de los adjuntos con malware y un incremento de hyperlinks maliciosos (links activos en los que se puede clickear para llamar una página web). "Creemos que esta gente ha decidido que éste es el camino que encuentra menor resistencia para ingresar material malicioso", señala explicando que los filtros de e-mails no detectan hyperlinks. "Ellos llegan en los correos electrónicos, pero el blanco es el browser", dijo.
Los sitios de redes sociales son un problema particular porque incentivan a las personas a divulgar sus datos personales: "Una mina de oro para los chicos malos", comenta Sunner, señalando que se observa una nueva ola de e-mails dirigidos a ejecutivos identificados con nombre y cargo dentro de su empresa.
A menudo, los empleados son involuntariamente una fuente de fallas de seguridad. Nigel Hawthorne de Blue Coat, un proveedor de dispositivos de seguridad para Internet, declara: "La clave es comprender que ‘cualquiera sea la tecnología aplicada, la conexión más débil en general es el empleado. Desde passwords o claves que están escritos en algún papel hasta computadoras logueadas que quedan encendidas; son los empleados los que necesitan capacitación y estar seguros ante las amenazas".
El tercer motivo es que la reputación de una compañía puede verse amenazada, si los empleados acceden a sitios poco adecuados o desagradables. En el peor de los casos, la empresa podría iniciar una acción legal si, por ejemplo, descubre a un empleado bajando pornografía infantil. Pero hasta un blog inocente puede causar problemas si lleva el nombre de la compañía y se cree que representa sus opiniones.
Existen alternativas de software capaces de impedir el acceso a determinados sitios. En general, toman la forma de una enorme base de datos que filtra los sitios a los que se puede acceder.
Es posible fijar los parámetros del software para que, por ejemplo, el acceso a Ebay sea mayormente denegado, salvo en horario de almuerzo y una vez finalizada la jornada laboral. Después de todo, los empleados siempre han hecho compras durante el descanso del mediodía y eso no debería cambiar si se hace shopping online.
Actualmente, se produjo un cambio radical en la forma en que se aplican esos programas. Las compañías más grandes, que tienen a mano muchos especialistas en seguridad y prevención de riesgo, siguen comprando programas y adaptándolos a sus propias necesidades.
Éste es un enfoque costoso. Para empeorar las cosas, la elección del producto puede ser desconcertante. "Es demasiado compleja", dice Peter Watkins de Webroot. Además, la cantidad de sitios sospechosos está creciendo rápidamente: "Actualizamos nuestra base de datos dos veces al día", cuenta Patel de SurfControl.
Las compañías tienen que decidir a qué se dedican realmente: al acceso a Internet o la especialidad elegida. Para éstos últimos, la opción se focaliza en elegir entre la solución con un appliance (una computadora con un software apropiado) o un servicio administrado.
Watkins predice que 40% de las compañías pequeñas y medianas se protegerán con estos dispositivos y 40% con servicios administrados. Los proveedores de appliances ofrecen actualizaciones online para las bases de datos que filtran la Web.
Watkins piensa que los software de las computadoras de escritorio finalmente colaborarán con los servicios administrados en la identificación de sitios maliciosos y no permitirán el ingreso, no sólo a la compañía, sino a todos los suscriptores del servicio administrado. "Será un efecto de red del que se beneficiarán todos", aseguró.
Sin embargo, limitar el acceso a los sitios Web es un mal necesario. Internet es más efectivo cuando el acceso es libre.
John De Santis, CEO de TriCipher en Estados Unidos, ofrece un software diseñado para garantizar la identidad de un individuo en la Web.
Él está a favor de la libertad: "Dejemos que la gente haga lo que quiera. Si hacen algo mal, al menos sabremos quién es responsable. El personal sabrá que se está monitoreando su comportamiento en la Web".
Traducción: Mariana I. Oriolo