Con la proliferación de nuevas herramientas para ser mas productivos, gente viajando con necesidad de acceso a información, y soluciones externas de copia o sincronización de la información, las empresas están cada vez más exponiendo sus datos.
No hay que bajar la guardia, los responsables de seguridad tienen que coordinar y fijar las medidas de seguridad para todos y cada uno de los ficheros de la empresa, puesto que con la cantidad de herramientas disponibles ( EverNote, SugarSync, Dropbox, Windows Live Mesh….) el usuario dispone de discos duros accesibles desde cualquier sitio y de compartición inmediata sin control por parte de la empresa.
Por lo tanto, hay dos cuestiones a controlar… por una parte qué usuarios tienen acceso a la información disponible y qué aplicaciones son accesibles desde la red de la empresa tanto internas como externas. El control de los puertos USB en cada ordenador, la conexión de los teléfonos móviles (smartphone) que son verdaderos discos duros, la conexión de discos duros a la red o dispositivos wifi también conectados a la red de la empresa son algunos de los aspectos a controlar.
¿Cuántos usuarios pueden instalarse los programas que quieran en su ordenador, y actúan como administradores de su ordenador con un control total ?
Cada vez las empresas son más vulnerables por el acceso a la información descontrolado, y cada vez me parece más interesante hacer una «foto» de la empresa mediante lo que se llama Análisis y Gestión de Riesgos (AGR) para que la gerencia de la empresa tenga constancia de qué tiene la empresa, sobre todo por la responsabilidad que tiene como responsable del fichero ante la Agencia de Protección de Datos.
Me parece imprescindible proteger la información de la empresa, y para ello en muchas PYMES es interesante externalizar el servicio, pidiéndole a su socio tecnológico en telecomunicaciones que controle periodicamente un elemento que debería estar en todas las empresas – Gestor Unificado de Amenazas ( el famoso firewall pero adaptado a las necesidades de hoy), que se «manche las manos de sangre» con los usuarios que incumplen, que bloqueen los equipos y que controlen la seguridad de acceso a los switches.
¿ Cuántas veces nos ha llamado el director financiero o el gerente de una empresa apurado porque una persona con control de acceso a la información iba a «dejar» su puesto de trabajo no de mutuo acuerdo ? ¿ Asustados ? Yo diría que algo más que eso, porque muchas empresas son verdaderos «coladores», y el personal técnico ya tiene suficiente en muchas ocasiones con «apagar» los fuegos del día a día, y no pueden ser conocedores de todas las tecnologías ni dispositivos.
¿ Por qué no se implantan mejores prácticas más frecuentemente ? Desidia o desconocimiento.