MÉXICO, DF.- Un empleado a nivel gerencia media o inferior, de entre 20 y 30 años, con una antigüedad promedio de tres años en la empresa, es el perfil en México de quien roba información al interior de una organización, de acuerdo con un análisis realizado por KPMG.
Hasta un 20% de la pérdida de datos empresariales en 2010 se debió a ataques intencionales planeados por los propios empleados, incrementando los riesgos en un 20% y afectando a por lo menos 249 millones de personas a nivel mundial desde 2007, cifra que continuará en ascenso por más casos de violaciones de seguridad general ocasionando pérdidas económicas cada vez más grandes.
Entre los rasgos distintivos de este tipo de empleados malintencionados KPMG los señala como adictos al trabajo y estresados, personas que rara vez toman vacaciones, rechazan ascensos y protegen celosamente su unidad de negocio.
Shelley Hayes, socia fundadora de la Práctica Forensic de KPMG en México, dijo que "en nuestro país, el típico defraudador es muy similar al defraudador identificado en la encuesta global. Cuando se trata de fraudes con alto impacto económico, generalmente es un fraude en estados financieros como manipulación de los ingresos y resultados, y lo realiza un ejecutivo de alta dirección, de sexo masculino y antigüedad considerable en la empresa".
También es común el caso de robo de identidad para asumirse como titular de una cuenta con intención de obtener un beneficio económico que es más importante cuantas más responsabilidades tenga a su cargo el defraudador.
Y no es que las empresas no cuenten con sistemas para prevenir los ataques, de hecho, el estudio de KPMG revela que muchas pudieron evitar el robo, dado que en 56% de los casos se había emitido una o más señales de alarma que deberían haber llamado la atención de la dirección, pero sólo se actuó en el 10% de los casos antes de requerir una investigación completa.
Sobre las consecuencias Hayes señaló que pocas compañías mexicanas buscan la reparación del ilícito mediante acción judicial debido a que hacer cumplir la ley toma tiempo que las empresas no están dispuestas a invertir, "la respuesta que adopte la compañía depende de su tolerancia al fraude y de su deseo de tratar con los canales judiciales".
La consultora advierte que el sector de servicios financieros tiene el mayor registro de pérdida o robo de datos con un 33%, le sigue retail con 31% y servicios informáticos con 22%.
Symantec confirma que la pérdida de información confidencial por descuido o mala intención de los empleados sigue creciendo, pues tras la realización de un estudio dio a conocer que 79% de los trabajadores que perdieron o dejaron sus empleos copió información sin autorización del empleador utilizando CD, USB o cuenta personal de correo electrónico, el 59% de los datos tomados eran confidenciales.
En la mayor parte de los casos registrados no se realizó una auditoría o una revisión de los papeles y/o documentos electrónicos antes que el trabajador dejara el empleo.
LAS OPCIONES DE SEGURIDAD
En Latinoamérica, consecuencia de fallas en la seguridad informática, algunas organizaciones registraron pérdidas de al menos 181 mil 220 dólares en 2010, de acuerdo con el Reporte sobre Seguridad Empresarial 2011, realizado por Symantec. El 78% de las compañías encuestadas sufrió ataques en los últimos 12 meses a través de códigos maliciosos e ingeniería social por lo cual el 95% registró pérdidas por tiempo de inactividad, robo de información y robo de propiedad intelectual, que en el 86% de las veces se tradujeron en costos monetarios.
El aumento en los ataques, tanto internos como externos, llevan a los encargados de TI a considerar la ciberseguridad como el principal riesgo empresarial por lo que están mejorando sus controles al respecto. Symantec encontró que el 54% de los encuestados en el estudio señaló a los hackers como la principal preocupación, seguidos por los recursos internos bienintencionados. Ante el panorama las empresas de seguridad refuerzan sus sistemas. McAfee por ejemplo anunció McAfee DeepSAFE pensado para enfrentar ataques sigilosos ya que otorga seguridad más allá del sistema operativo ofreciendo protección en tiempo real para prevenir actividades maliciosas y no sólo detectar infecciones. Por otra parte RSA, la División de Seguridad de EMC, presentó un servicio diseñado para proporcionar información sobre los puntos finales, los recursos de red, las credenciales de acceso y demás sistemas corporativos que hayan podido ser afectados por malware, informando sobre los posibles riesgos.
NECESARIA MAYOR CAPACITACIÓN No en todos los casos la pérdida de información confidencial por culpa de un empleado se debe a un acto intencional, existen casos en que por falta de capacitación o controles de seguridad adecuados se extraen datos importantes.
El universal
