El estudio realizado entre 600 empleados de empresas de toda Europa, dirigido por ICM Research y encargado por McAfee®, señala los peligros que la pérdida de datos supone para las organizaciones. Los empleados, según el estudio, cada vez transfieren más cantidad de datos confidenciales fuera de las empresas, utilizando métodos que a menudo se escapan del control del departamento TI. Sugiere que más de un tercio de las empresas europeas (37%) no tienen establecida una política para manejar documentos sensibles, y en los casos en los que ya existen políticas, casi un cuarto (24%) de los empleados no saben lo que es.
Otras conclusiones relevantes son:
Cada semana se sacan de las oficinas europeas una media de 11 documentos confidenciales. España supera la media, ya que los trabajadores sacan hasta 13 documentos sensibles a la semana, de los cuales un 40% son de carácter financiero. Solo los alemanes superan esta cifra, sacando hasta 19 documentos de la empresa, de los que sólo un 13% son documentos financieros. 132 millones de documentos sensibles salen cada semana de las oficinas del Reino Unido en dispositivos portátiles1
De forma cotidiana los documentos internos y los datos/registros de los clientes, seguidos de información financiera, son los dos tipos de documentos que más comúnmente se sacan electrónica o físicamente de las empresas
Los empleados utilizan cada vez más dispositivos portátiles, incluyendo unidades de memoria y teléfonos móviles para extraer datos de sus empresas
Los servicios de correo electrónico basados en la Web, e incluso la mensajería instantánea están siendo utilizados para transferir información sensible fuera de las empresas
El 44% de los empleados españoles se llevarían datos de la empresa cuando se marchen de ella. La media europea de los empleados que comparten esta opinión es superior a la española, con un 52%
La mayoría de los trabajadores de España (92%), al igual que la media europea, considera que el manejo seguro de documentos confidenciales de la empresa es crucial para mantener la relación con los clientes
La escala de pérdida de datos de empleados
El año pasado, Boeing, Ernst & Young y Nationwide sufrieron problemas en su reputación cuando los números de la seguridad social, nombres y direcciones de miles de empleados y clientes quedaron abiertos al fraude de identidad después de que ordenadores portátiles sin encriptar fueran robados de las casas y coches de sus trabajadores. El Ministerio del Interior de Israel también sintió el desastre digital cuando información vital de su población fue extraída y colgada en Internet. Además de la inevitable pérdida de confianza del cliente, el estudio muestra que las consecuencias financieras de la pérdida de datos van en aumento.2
Aun así, parece que no estamos dando los pasos necesarios para protegernos contra las amenazas de seguridad que suponen los trabajadores ya que, como media europea, los trabajadores se llevan de la empresa semanalmente 11 documentos confidenciales. Los empleados alemanes son los más ofensivos con 19 documentos sensibles que salen del perímetro de la empresa cada semana, seguido de los españoles quienes se llevan 13. Los británicos parecen ser los más conscientes de la confidencialidad, compartiendo la media de seis documentos a la semana.
Los planes de negocio de la empresa, información financiera, datos de los empleados, clientes, y contratos legales están siendo todos puestos en riesgo por las acciones de los trabajadores europeos.
Los empresarios deben prestar atención al hecho de que cerca de un tercio (31%) de los encuestados enviaron información financiera a otros fuera de la organización como parte de su rutina diaria, mientras que el 20% también envió contratos legales.
La privacidad de los empleados es fácilmente accesible dado que un quinto (19%) comparte información con contactos externos y, mientras que el 92% admite que el manejo seguro de documentos confidenciales es crucial para mantener la relación con los clientes, un 39% envía fácilmente datos de los clientes a otras personas de fuera de la compañía.
La Web de la indiscreción
El e-mail de las empresas sigue siendo la forma más común de enviar información fuera de ella, con un 86% de los encuestados admitiendo enviar documentos de este modo con regularidad. Sin embargo, muchos empleados también están utilizando métodos sobre los que los departamentos TI tienen poco control. Un cuarto (26%) de los que han enviado información de clientes fuera de la empresa admite utilizar servicios de e-mail basados en la Web, como Yahoo o Hotmail, mientras que una proporción significativa (83%) imprime a menudo registros de clientes para llevárselos fuera de la empresa.
Casi una cuarta parte (23%) de los que admiten enviar documentos fuera de la empresa también han utilizado los servicios de Instant Messenger (IM) para transferir planes de negocio de la compañía, mientras que uno de cada cinco (20%) han enviado información y hojas de cálculo financieras de la compañía por medio de IM.
Uso creciente de los dispositivos de almacenamiento extraíbles
A menudo se sacan de la empresa documentos confidenciales por medio de dispositivos de almacenamiento extraíbles. Casi la mitad de los oficinistas europeos admite sacar registros financieros (45%), mientras que un tercio transfiere planes de negocio de la compañía (38%) y datos de clientes (34%).
Las llaves USB se confirman como el dispositivo extraíble preferido: más de una cuarta parte de los empleados (26%) lo utilizan con regularidad para sacar información. Sin embargo, en lugar de tratar estos dispositivos con cuidado, el 15% de los oficinistas europeos se los prestan a otros.
La vieja y conocida Copia Impresa
El documento tradicional en papel conserva su condición de principal vulnerabilidad potencial de la empresa. Son pocos los departamentos informáticos capaces de vigilar y restringir lo que se imprime o dónde se deja esa información. La encuesta indica que el empleado europeo medio imprime a menudo información financiera de la compañía (83%), registros de clientes (83%) y contratos legales (87%). El riesgo de que esta información caiga en manos indebidas se ve agravado por el hecho de que más de la mitad (54%) de los oficinistas no se toman la molestia de triturar los documentos confidenciales, y uno de cada diez admite incluso dejar la información frecuentemente en la bandeja de la impresora.
Robo de datos en la empresa
Las empresas europeas necesitan tomar medidas rápidamente para protegerse del robo de datos por parte de los empleados que dejan la compañía: más de la mitad (52%) de los encuestados confesaron que desde luego se llevarían consigo información y documentos de la compañía cuando se fueran. Los empleados franceses e italianos son los que se muestran más dispuestos a sacar información del edificio, mientras que los empleados británicos se consideran a sí mismos los más leales, ya que el 70% de ellos niegan que piensen llevarse dato alguno.
Pérdida de datos y Cumplimiento de políticas
Para las empresas, el impacto causado por la pérdida de datos puede ser algo extremadamente serio. Las relaciones de una empresa, así como su reputación, pueden verse severamente dañadas e incluso pueden derivar en acciones legales si la empresa tiene deficiencias en el cumplimiento de regulaciones como la Gramm-Leach-Bliley Act (GBLA) y la Sabarnes-Oxley Act (SOX). Además, con la pérdida frecuente de información sensible, se abren infinidad de posibilidades para que los hackers y spammers se infiltren en la empresa.
Mientras que la mayoría de las organizaciones se esfuerzan en cumplir las políticas legales que aseguren un manejo seguro de la información sensible, suspenden sin embargo en reconocer a sus empleados como potenciales Talones de Aquiles. Sobretodo, con la exposición al riesgo de los datos ocasionando problemas de cumplimiento de políticas y la pérdida de propiedad intelectual – enviando fuera activos de la empresa pudiendo ocasionar el fin del negocio, comenta Greg Day, Analista de Seguridad en McAfee.
Estas conclusiones indican claramente que la pérdida de datos desde dentro es un problema que va en aumento y las empresas necesitan solucionarlo además de protegerse de las amenazas externas. Nosotros creemos que la solución reside en combinar la educación de los empleados y en invertir en una solución de seguridad completa y gestionada.
En Octubre de 2006, McAfee Inc adquirió Onigma Ltd., aportando a McAfee más capacidades y experiencia para ayudar a los clientes a reducir los riesgos asociados a la pérdida de datos. McAfee anunció también la disponibilidad de McAfee Data Loss Prevention, una solución que sistemáticamente monitoriza y previene de la pérdida de información ocasionada desde dentro, y ayuda a las grandes empresas a cumplir con las normativas gubernamentales.
