Reforzar apresuradamente las ciberdefensas tras una serie de ataques en Estados Unidos no conseguirá frenar a los espías ni ladrones, pues la principal debilidad de las empresas suele ser el personal mal formado y dirigido.
En el ciberespacio, como en otras áreas de la seguridad, el factor humano es muy vulnerable, ya sea por robo interno o por infracciones inadvertidas por empleados que clickean un enlace comprometido, dicen analistas.
Una formación más rigurosa puede no frenar el abuso de los sistemas cibernéticos de las empresas, algunos "hackers" son tan sofisticados que un 100 por ciento de seguridad es imposible, pero puede reducir significativamente los riesgos, dicen especialistas. Lo mismo ocurre con la adopción de nuevas formas intrusivas de vigilar el comportamiento de los empleados en internet y cumplir con una buena práctica cibernética, dicen algunos especialistas.
"Las campanas y silbatos (de alta tecnología) no sirven de nada si no tienes un personal confiable, leal y bien informado", dijo un ejecutivo del sector que habló recientemente en un seminario cibernético a puertas cerradas. Muchos expertos dicen que se puede hacer mucho más para reforzar la seguridad en el "punto final" -en otras palabras, la gente-, en vez de depender excesivamente del software inteligente, por importante que sea.
Algunos especialistas ven la necesidad de introducir exámenes de seguridad a la hora de contratar personal clave, como administradores de sistemas.
"La tecnología es sólo una parte del problema. Todo sistema se compone de personas, procesos y tecnología. Para atacar el sistema sólo hace falta romper uno de los componentes", dijo Steve Purser, un experto de la Agencia Europea de Seguridad de Redes e Información de la Unión Europea. Purser dijo que no hay reglas fijas sobre la supervisión de personal en internet, porque los datos difieren en sensibilidad y contexto.
"Lo importante es comunicar las reglas al personal para garantizar que las normas se están cumpliendo", dijo. Y la necesidad es urgente, porque los empleados temen que la recesión aumente el porcentaje de despidos y algunos empleados se vayan llevándose información. Algunos se resisten a la idea de controlar en el trabajo en línea de sus empleados. Pero los analistas dicen que los "hackers" están haciendo exactamente lo mismo. "Es el lado humano de la ecuación lo que está permitiendo a los malos salirse con la suya en este momento", dijo Neil Fisher, vicepresidente de Soluciones de Seguridad Global en Unisys Corp a Reuters.
El ejecutivo se refería a los ataques de "phishing", una táctica para obtener datos como contraseñas o cuentas bancarias haciéndose pasar por una institución legítima. Mohan Koo, director ejecutivo de Dtex Systems, dijo que la mayoría de las organizaciones tendían a priorizar demasiado el riego de las amenazas externas, sobre todo en el sector financiero.
"Durante años los bancos de inversión han vivido bajo el lema 'Conoce a tu cliente'. Hoy es más importante que se centren en 'Conoce a tu infiltrado', porque es allí donde tienen una debilidad", dijo. "El problema es que la mayoría de las organizaciones no vigilan a sus infiltrados suficientemente para cuantificar la amenaza para su negocio.
Si lo hicieran, el impacto sería lo suficiente para provocar un cambio en su enfoque", añadió. Un estudio de la empresa de seguridad informática McAfee y la consultora del Gobierno estadounidense SAIC dijo que la amenaza más denunciada por las empresas era la filtración de datos accidental o intencional por parte de los empleados.
