Nos han aportado una enorme frescura, con ideas que no se nos habían ocurrido ”

Gabinete prensa Metges de Catalunya

 
¡CONTACTA AHORA! 902 74 79 72
 
 
OFERTA
 
 
 

Control Interno

Leer en Google Leer en Yahoo RSS

RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).

Control Interno Informático es una herramienta enfocada a la adecuada gestión de los Sistemas de la Información.

Muchos de los problemas informáticos se originan dentro de la misma empresa.

Por ello es cada vez más necesario un completo análisis del tráfico de:
* Los correos electrónicos corporativos.
* Las páginas web que se visitan desde los ordenadores de la empresa.

Hemos seleccionado los siguientes articulos para usted:

  • Empresas vigilan el acceso de sus empleados a Internet, Fuente externa: infobae.com
  • Las empresas comienzan a controlar el acceso de sus empleados a Internet, Acceso restringido, Una medida antipática, Fuente externa: infobaeprofesional.com
  • Solución a la inseguridad informática, Fuente externa: belt.es

Empresas vigilan el acceso de sus empleados a Internet

¿Cuántas veces uno se queja en la oficina por lo lenta que está la conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo.

Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros.

De acuerdo con un estudio realizado por la American Management Association, el 78 por ciento de las empresas estadounidenses vigila las comunicaciones de sus empleados.

En Europa este porcentaje llega al 70 por ciento. Mientras en América Latina y en la Argentina todavía no existe una cultura empresaria proclive al control, pero de a poco se está imponiendo el modelo estadounidense.

“Por lo general, en la Argentina las empresas empiezan a tener en cuenta desde el año pasado que Internet no puede ser de libre uso dentro de la empresa”, sostiene Gustavo Aldegani, consultor especializado en seguridad informática.

Los motivos son diversos, y tienen que ver con el costo que representa para una empresa el servicio de banda ancha, la baja en la productividad laboral de aquellos que navegan varias horas por día, el riesgo informático que representa recibir cadenas de e-mails con virus o navegar por sitios poco seguros, el peligro de que un empleado envíe información confidencial a la competencia, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o agresivos desde su e-mail corporativo.

“En la primera línea lo que se mira es el costo”, indica Gabriel Zurdo, Director de Práctica de Seguridad Informática de Ernst & Young. “Las empresas ven que están perdiendo capacidad de trabajo y de producción porque la gente abusa de Internet, y ése es un costo”.

Aldegani, por su parte, brinda un ejemplo: “si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el ancho de banda está estancado porque hay gente navegando, va a tener un impacto operativo y económico”.

Las empresas comienzan a controlar el acceso de sus empleados a Internet

¿Cuántas veces uno se queja en la oficina por lo lenta que está la conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo. Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros.

De acuerdo con un estudio realizado por la American Management Association, el 78 por ciento de las empresas estadounidenses vigila las comunicaciones de sus empleados (ver infografía). En Europa este porcentaje llega al 70 por ciento. Mientras que en América Latina y en la Argentina todavía no existe una cultura empresaria proclive al control, pero de a poco se está imponiendo el modelo estadounidense. “Por lo general, en la Argentina las empresas empiezan a tener en cuenta desde el año pasado que Internet no puede ser de libre uso dentro de la empresa”, sostiene Gustavo Aldegani, consultor especializado en seguridad informática.

Los motivos son diversos, y tienen que ver con el costo que representa para una empresa el servicio de banda ancha, la baja en la productividad laboral de aquellos que navegan varias horas por día, el riesgo informático que representa recibir cadenas de e-mails con virus o navegar por sitios poco seguros, el peligro de que un empleado envíe información confidencial a la competencia, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o agresivos desde su e-mail corporativo.

“En la primera línea lo que se mira es el costo”, indica Gabriel Zurdo, Director de Práctica de Seguridad Informática de Ernst & Young. “Las empresas ven que están perdiendo capacidad de trabajo y de producción porque la gente abusa de Internet, y ése es un costo”. Aldegani, por su parte, brinda un ejemplo: “si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el ancho de banda está estancado porque hay gente navegando, va a tener un impacto operativo y económico”.
Acceso restringido

Entre las medidas que adoptan las empresas a la hora de desincentivar el uso de Internet, la primera que se utiliza es limitar el acceso, mediante filtros, bloqueo de webmails, chats o de algunos sitios en particular. En Europa, casi el 50 por ciento de las compañías lo hacen. “Por ejemplo, -dice Aldegani- a todos los sitios que tengan que ver con palabras relacionadas con deporte o sexo. Por lo general, las empresas de seguridad o las páginas que venden productos de seguridad ya tienen listas prearmadas de palabras a restringir”. Existe el caso de una importante empresa argentina que para evitar el acceso a páginas pornográficas, adoptó un filtro tan estricto que impedía realizar búsquedas de sitios con palabras como “sexto”. Por otra parte, es común que el acceso se restrinja de acuerdo a la jerarquía dentro de la compañía.

Un segundo mecanismo que se utiliza es el de no limitar el acceso pero en cambio vigilar quiénes son los que más navegan. “No se puede monitorear a todos, pero lo que sí se hace es establecer un ranking de los 20 o 40 empleados que más están en Internet. Y se monitorea por qué sitios anduvieron”, explica Aldegani.
Una medida antipática

En general, a los empleados no les alegra saber que se les ha restringido el acceso o que están siendo vigilados, si es que logran enterarse. Porque son varias las empresas que instalan programas de control y de vigilancia en las computadoras sin informarles. “La gente que tiene algún tipo de experiencia con regulaciones o que usualmente percibe que existe la necesidad de controlar cosas, como por ejemplo los empleados bancarios, al principio tienen un rechazo pero rápidamente se alinean. Entienden la necesidad y el riesgo”, expresa Zurdo.

Aldegani pone el foco en que el uso indiscriminado de Internet en la oficina puede ser reflejo de problemas más serios dentro de una empresa. “Si uno entra a una sala de boxes de una empresa y ve a la mitad de los empleados leyendo revistas de cualquier cosa, o navegando en cualquier lado, uno dice “esta empresa está en problemas””, dice Aldegani.

Si bien en la Argentina recién empieza a difundirse entre las organizaciones el control del acceso a Internet, existe un problema más grave y es el de aplicar controles que sean ineficientes. “Muchas empresas dicen que adoptan medidas de control, y cuando uno prueba estas normas, se encuentra con que en realidad se trata de un control mal hecho”, señala Zurdo. “Y está muy difundida la falsa creencia de que se están haciendo las cosas bien. Las empresas más chicas es donde más se dan estos mecanismos ineficientes, pero algunas grandes no escapan a estas cuestiones”.

Empresas vigilan el acceso de sus empleados a Internet

La llamada Ley de Moore, según la cual ‘la densidad de los circuitos integrados en cada chip se doblaría cada año y medio’ supone que, en una década, los equipos informáticos en el mercado son 60 veces más potentes, algo que no tiene equivalencia en ninguna otra tecnología. Avances como éste son los que han permitido la digitalización de las comunicaciones, la convergencia de la informática y las telecomunicaciones y el desarrollo de Internet, revolucionando la capacidad de tratar la información y su transmisión. Todo ello, además de su efecto en la productividad de las economías y constatando a la vez la absoluta dependencia de la economía global de estas tecnologías.

El uso creciente de sistemas informáticos y redes abiertas está contribuyendo a crear un entorno que pretende traducir las normas del mundo real al virtual. Este comportamiento ya se ha convertido en cotidiano, y no lo es más por aspectos como la accesibilidad, la facilidad en el uso o por la percepción de falta de seguridad.

¿Ante qué retos se enfrenta el crecimiento de Internet? La infraestructura de la red, la banda ancha y la confianza, o sea: la seguridad. Los problemas relativos a los dos primeros se van arreglando en nuestro país, no así el de la seguridad.

El problema de la seguridad viene del propio concepto de Internet: es una red abierta y digital. Al ser abierta interconecta e integra a varias partes, eliminando fronteras entre sistemas y esto es tan útil como peligroso. Al ser digital, permite la creación de automatismos con gran capacidad de difusión y dirigidos a distancia, lo que incrementa el riesgo de ataques informáticos.

Los departamentos informáticos de las empresas se han apercibido de estos riesgos y están incrementando las dotaciones en inversiones en seguridad. Los datos preocupan: diariamente se descubren entre dos y cinco nuevas vulnerabilidades; el 90% de las empresas ha detectado problemas de seguridad en los últimos 12 meses. Los problemas de seguridad para los flujos de información en estos entornos son, básicamente, cuatro: la autenticación, saber que la información proviene de quien se supone; la integridad, que la información no haya sido alterada desde su envío hasta su recepción; la confidencialidad, que no haya sido interceptada por terceros, y el no repudio, la constancia irrebatible de haber enviado o recibido la información. Sin la tecnología adecuada se pueden romper estas características.

Afortunadamente, existe todo un conjunto de soluciones tecnológicas que contrarrestan estos problemas. Entre otras, los cortafuegos, antivirus, passwords, tokens y firma digital (sobre tecnología PKI). Es preciso constatar en cualquier caso que no puede existir una seguridad total. Pero ni en Internet ni en ningún sitio. Finalmente, la seguridad se basa en la correcta gestión de los riesgos, optimizando la relación entre los riesgos asumidos y los medios invertidos.

No se trata de un producto, sino de un proceso, y ese proceso es a su vez tan seguro como el eslabón más débil. Es vital por lo tanto conocer los riesgos anexos a ese proceso. Este debe basarse, por un lado, en la adecuada combinación de hardware, software, redes, personal y política de seguridad. Por otro, en la combinación de la arquitectura de seguridad y su correcta implantación. De hecho, el 80% de los problemas proviene de la forma de implantar los sistemas y sus procedimientos.

Una empresa debe tener en cuenta que el negocio depende de su sistema informático, que hay una legislación y una normativa internacional cuya aplicación puede tener serias consecuencias en la economía de la empresa y, como corolario, que la credibilidad es vital para las organizaciones. Los riesgos que debemos conocer, reconocer y saber gestionar son diarios y de todo tipo y calibre. Los problemas llegan por correo, uno no se da cuenta cuando le atacan, los PC no se diseñaron para guardar datos confidenciales, las máquinas se estropean y, aunque el personal no sabe el mínimo necesario de informática, probablemente alguien en la plantilla sabe más que el responsable de sistemas.

El factor humano no es precisamente el menos importante de los agentes que debemos considerar en la implantación de un sistema de seguridad. Ante la introducción de elementos seguros, como pueden ser las técnicas criptográficas, algunos usuarios pueden reaccionar de forma pueril desarticulando todo el proceso con comportamientos como no querer (u olvidar o simular olvidar) cifrar los ficheros o correos, imprimir los códigos y dejarlos en la impresora (o en la mesa, o en la papelera, o…), no utilizar passwords de calidad… y la dirección puede estar tentada de facilitar las cosas a los usuarios más que de mejorar la seguridad de la compañía.

Todas las encuestas realizadas a empresas sobre asuntos relacionados con la seguridad proclaman con grandes caracteres la preocupación interna sobre estos temas. A modo de ejemplo se pueden citar datos como que el 90% de las empresas ha detectado problemas de seguridad en los últimos 12 meses, o que el 80% reconoce pérdidas financieras; el 40% ha sufrido intrusiones desde el exterior; el 38% ha comprobado que se han efectuado accesos no autorizados desde el interior de la propia empresa, por no hablar de los abusos cometidos en el acceso a Internet, que ha padecido el 78%.

Si el escenario es tan nítido, ¿qué hacen (o dejan de hacer) las empresas en lo relativo a su estrategia de seguridad? Según los estudios de Asimelec, el nivel de implantación de sistemas de seguridad es claramente deficiente. Solamente cuando las empresas tienen más de 250 trabajadores las cifras relativas a la LOPD y el plan de continuidad rondan una contestación positiva del 60% de las empresas. Sólo pueden considerarse como realmente consolidadas dos tecnologías: los antivirus y los cortafuegos (firewalls), con una penetración de cierta importancia de la autenticación.

Una rápida reflexión indica al menos dos cosas; por un lado, la escasa presencia de estas tecnologías y, por otro, que la perspectiva de las compañías se centra en una seguridad periférica que las proteja de los ataques exteriores.

Las empresas españolas deben asimilar que la seguridad no es una opción, es una obligación para cualquier empresa. Como decisión estratégica, la política de seguridad debe estar basada en el análisis y gestión del riesgo, bien definida e implantada en toda la entidad. Y por último, que la evaluación de la eficacia de los mecanismos aplicados debe ser permanente, porque la seguridad es un proceso, no un producto, y su implantación no es una opción, sino una necesidad.