20 abril 2010

Nos gusta el riesgo

Según parece, la mayor parte de los problemas de pérdida de datos en las empresas se debe a conductas de riesgo de los usuarios. O al menos éso es lo que reflejan algunos estudios, según indica el artículo referenciado. Como no he podido acceder a los datos de partida del informe (parece que la empresa que lo ha realizado sólo ha publicado algunas notas de prensa, pero no los resultados estadísticos de dicho estudio), el único dato que tenemos es el del titular: un 78% de las pérdidas de datos en las empresas se deben a:
  • Errores humanos
  • Pérdida de hardware
  • Robo de hardware
  • USB personal infectado
  • Desactivación del antivirus

De ellos, los dos primeros no creo que se deban estrictamente a conductas de riesgo (un "despiste" lo puede tener hasta el más paranoico), y el tercero tampoco tiene por qué estar relacionado con ellas (podría ser que con tu conducta vayas "provocando" a los ladrones, pero lo más habitual es que el robo se deba más a "despistes" y casualidades). Por tanto, me gustaría quedarme con las dos últimas, que sí que creo que son en sí mismas conductas de riesgo en las empresas.

En relación al uso de pendrives personales, creo que hay dos aspectos que habría que analizar: su uso para fines personales y su uso para fines profesionales. Sobre todo porque en este segundo caso (el primero queda regulado por cada organización una vez que se estipulen los usos y comportamientos permitidos en la organización, ya que puede ser una conducta de riesgo o una conducta incluso no permitida) habría que tener en cuenta si la propia empresa proporciona a sus empleados los medios necesarios (en este caso, pendrives) para que puedan realizar su trabajo. A partir de ahí, una buena solución sería la integración de un sistema de control de periféricos, de esos que permiten definir políticas de uso de medios removibles, para poder controlar qué pendrives se conectan a los equipos.

En cuanto a la desactivación del antivirus, la primera duda sería conocer por qué los usuarios tienen capacidad de desactivarlo (puede que no requieran ese tipo de permisos), y a partir de ahí preguntarnos el motivo por el cuál lo han hecho. Es cierto que algunos usuarios esgrimen la ralentización del equipo como argumento para desactivarlo (aunque muchas veces sea el propio malware que les infecta por tenerlo desactivado el que les ralentiza el equipo), pero también puede que una mala integración de estas soluciones o un incorrecto dimensionamiento de los equipos para soportarla puedan causar problemas reales con la plataforma antivirus.

Con esto quiero señalar que a veces puede ser la propia organización la que puede establecer acciones para corregir ciertas conductas de riesgo, ya que a veces el propio celo de los usuarios por realizar adecuadamente su trabajo puede conducirles a caer en dichas conductas. Más allá de las clásicas acciones de concienciación, adoptar ciertas precauciones con las herramientas y normativas de uso asociadas que homologamos en la organización puede ser un aspecto tanto o más importante que la propia concienciación a la hora de limitar las conductas de riesgo. Sobre todo si nos enfrentamos a soluciones que, por simplificarle la vida al usuario, le limitan la posibilidad de saber si está utilizando un protocolo de navegación seguro...

No hay comentarios: