Factor humano, una brecha en tema de seguridad de información: Análisis de un caso real

Por Lic. María del Rosario Cadena Rocha

 

Descargar artículo

 

Recibido 210418

Aprobado 090818

Licenciada en Informática, actualmente colabora en el Instituto Nacional de Estadística y Geografía (INEGI).

 

Resumen

El presente documento describe un caso real que muestra al factor humano como una brecha en el tema de seguridad de información. Lo anterior permite realizar un análisis sobre las soluciones planteadas, haciendo conciencia sobre el impacto de la parte humana en el área de tecnología, así como de la falta de políticas que regulen o protejan a dicho capital.

Summary

This document describes a real case that shows the human factor as a breach in the subject of information security. This allows an analysis of the solutions proposed, raising awareness of the impact of the human side in the area of technology, as well as the lack of policies that regulate or protect said factor.

Palabras clave

Tecnología, políticas, factor humano, fraude, seguridad de información.

Keywords

Technology, policies, human factor, fraud, information security.

Introducción

​Siempre que se habla de vivencias o experiencias dentro del área de Tecnologías de Información se encuentra como tema recurrente el factor humano y los problemas que conlleva la combinación de este con la tecnología, hablando, específicamente, de seguridad de información.

La Asociación de Examinadores de Fraude Certificados (ACFE) determinó que en las empresas de los EEUU, el fraude causa pérdidas de US$ 9 diarios por empleado. En dicho país, las empresas pierden el 6 % de sus ingresos anuales debido a este tipo de delitos.

Para los países latinoamericanos no existen este tipo de estadísticas; sin embargo, es importante mencionar que las pérdidas causadas pudieran ser aún mayores debido a la falta de cultura empresarial respecto a estos temas.

Existen diferentes mitos sobre los orígenes de la corrupción, incluso ACFE publicó un artículo sobre dicho tema. Así, se podrían encontrar un sinfín de hipótesis sobre el origen de este problema en aras de encontrar su solución.

¿Qué es lo que orilla a las personas a realizar dichos fraudes o abusos?
¿Cómo reaccionan las empresas?

A continuación, se expondrá un caso real; no obstante, es importante mencionar que no generaliza los motivos del fraude, pero sí plantea un escenario que permite materializar las situaciones a las que las empresas se enfrentan en este tema.

Planteamiento

Ante dicho caso, la primera pregunta a responder sería: ¿las empresas están preparadas para enfrentar estas situaciones? La situación que vivió un colaborador de la empresa X, quien por motivos de seguridad se mantendrá en el anonimato, refleja la vulnerabilidad a la que las organizaciones pueden estar expuestas.

El colaborador se topó con una persona hasta entonces desconocida; sin embargo, el sujeto negociante tenía mucha información con respecto al colaborador. La finalidad de dicho encuentro era ofrecerle un “trato”.

El negociante, sabiendo a qué se dedicaba el colaborador, le pidió que extrajera y entregara información de relevancia que exponía la seguridad de los clientes de la organización en la cual colaboraba. Lo anterior a cambio del bienestar de su familia y de su propia persona.

El colaborar le hizo saber al negociante que no tenía acceso a dicha información, pues los datos solicitados eran manejados por la organización de manera muy reservada. El negociante no desistió y comenzó a realizar visitas a su familia dejando recados a manera de amenaza. E incluso, acudió a su oficina.

El colaborador, buscando una solución, se acercó a la oficina de su jefe y le planteó la situación por la cual estaba pasando.

Argumento

Soluciones tomadas, ¿correctas o incorrectas?

El colaborador hizo lo moralmente correcto, se acercó a quien tenía confianza y a quien también pudiera afectarle su problema. No acudió con las autoridades, ya que realmente no sabía nada de quien ponían en riesgo su seguridad y la de su familia.

La organización tomó la solución de negarle al colaborador el acceso a cualquier medio de información e incrementar la seguridad durante su estancia, entrada y salida del edificio, ya que sabían que, aunque su ética era impecable, el hecho de que su familia estuviese en peligro pudiera quebrantar su moral y comportamiento profesional.

Para el colaborador, el ambiente se volvió hostil, por lo que terminó renunciando, siendo esta la única solución que encontró a su problema y eliminó cualquier relación con la organización.

Fue un caso aislado, pero podría volver a ocurrir

La solución que se dio en ese momento a esta situación sirvió, no llevó a mayores consecuencias y el caso se dio por cerrado.

No obstante, es necesario estar conscientes de que esto puede volver a ocurrir y, lo más importante, es imprescindible el estar preparados para situaciones de este tipo.

¿Qué pasaría si otro empleado se viese en la misma situación? Al observar el trato que se le dio a dicho colaborador provocaría que los demás empleados vieran reflejado su futuro, sabiendo que estarían expuestos, no solo a perder la confianza de la organización, sino su empleo. Lo anterior podría incentivar a no tener la misma confianza de exteriorizar su situación.

La pregunta más importante como figura de autoridad y toma de decisiones: ¿Cuál hubiese sido la respuesta correcta? ¿Cuál sería el actuar adecuado si alguien se nos acercara con una situación similar?

En este caso, las medidas de precaución que tomó la empresa fueron las correctas: aumentar la seguridad garantizando el bienestar de los clientes. Por lo contrario, faltó tener la misma apertura que tuvo el colaborador hacia ellos, explicándole las medidas que se tomarían, dejando en claro que estas se realizaban siguiendo un protocolo y no por la falta de confianza que se tuviera hacia su persona. Para resolver su caso, se le debería invitar a asistir a la instancia correspondiente para recibir asesoría legal y saber el cómo actuar ante esta situación de amenaza.

En otra circunstancia, qué pasaría si el empleado no tuviera ese fuerte compromiso con la organización, la moralidad o ética profesional. Si el colaborador hubiese accedido a las peticiones, ¿la organización se habría dado cuenta de que alguien estaba extrayendo información? O, simplemente, lo hubiese notado cuando la seguridad ya hubiese sido corrompida.

Para ello, es necesario generar al interior de las organizaciones Políticas de Seguridad Informática que refuercen la Seguridad de la información, así como llevar una evaluación o análisis periódico que verifique la funcionalidad de estas. Otra alternativa sería concientizar a los colaboradores sobre las consecuencias legales que pueden traer los actos delictivos, como lo es la extracción de información confidencial.

En el tema legislativo es importante mencionar que para los países desarrollados existen políticas que penalizan los delitos informáticos. En México, las Leyes Penales Orgánicas Estatales, cuentan con pocos artículos que tratan este tema, reflejadas en el Código Penal Federal específicamente en los siguientes artículos:

  • Artículo. 210, 2011 y 2011, bis los cuales tratan sobre la Revelación de Secretos; y
  • Artículo. 211 bis 1 al 211 bis 7, en tema de Acceso ilícito a sistemas y equipos de informática.

El tener conocimiento de los códigos penales en el área de la tecnología es un tema que debería formar parte del conocimiento de las organizaciones y de los colaboradores inmersos en ellas.

Conclusiones

Como expertos en temas de tecnología no se está realmente preparado para tratar este tipo de casos.

En temas de delitos informáticos es necesaria la colaboración con el área de Recursos Humanos y el Área Jurídica Interna, en caso de que se cuente con ella, o en dado caso buscar asesoramiento con Instituciones de Seguridad Pública o Ministerios Públicos, manteniendo los datos de estos como parte del directorio al cual recurrir en caso de presentarse algún caso de contingencia en seguridad de información.

Otro tema interesante como empresas o personal del área de tecnología es saber qué tanto profundizan o se especializan en el tema de seguridad de información, abusos y fraudes ocupacionales.

En indispensable generar políticas que regulen el uso y acceso a los activos y servicios informáticos, así como evaluar las políticas vigentes en las organizaciones, asegurándose de que cumplan con su función y de que se mantengan actualizadas.

Se deben generar estadísticas sobre los temas de seguridad de información y las pérdidas que tienen las empresas; de igual manera, considerar un presupuesto asignado para la prevención de abusos y fraudes ocupacionales que apoyen a la generación de nuevas políticas públicas, ya que estas representan una frontera que debería explorarse como parte del desarrollo si se quiere seguir en el camino de la evolución como país en crecimiento.

Referencias

Asociación de Examinadores de Fraude Certificados (ACFE) México. (2016). Reporte a las naciones sobre el abuso y el fraude ocupacional. Recuperado de http://acfe-mexico.com.mx/archivos/Reporte_Naciones_2016_esp.pdf

Muñoz Torres, Ivonne y José Cuervo. (sf). Legislación informática de México. Recuperado de http://www.informatica-juridica.com/legislacion/mexico/

Portal Universidad Nacional Autónoma de México (UNAM). (2018). Constitución Política de los Estados Unidos Mexicanos. Texto reordenado y consolidado (estudio académico). Recuperado de https://www.juridicas.unam.mx/legislacion/ordenamiento/codigo-penal-federal

Referencia de imagen

Lauren N Cooper (2017)
Recuperada de  www.flickr.com/photos/lncooper/36190562366 (imagen publicada bajo licencia Creative Commons de Atribución-No comercial Genérica 2.0 de acuerdo a: https://creativecommons.org/licenses/by-nc/2.0/).

Caspar Camille Rubin (2017)
Recuperada de  https://unsplash.com/photos/fPkvU7RDmCo (imagen publicada bajo licencia Creative Commons de Atribución-No comercial Genérica 2.0 de acuerdo a: https://creativecommons.org/licenses/by-nc/2.0/).

SITCON (2015)
Recuperada de  https://www.flickr.com/photos/sitcon/16794037246 (imagen publicada bajo licencia Creative Commons de Atribución-No comercial Genérica 2.0 de acuerdo a: https://creativecommons.org/licenses/by-nc/2.0/).

ADEOLU ELETU (2016)
Recuperada de  https://unsplash.com/photos/lWVoW8LpcEQ (imagen publicada bajo licencia Creative Commons de Atribución-No comercial Genérica 2.0 de acuerdo a: https://creativecommons.org/licenses/by-nc/2.0/).