Control Intern Informàtic és una eina enfocada a l'adequada gestió dels Sistemes de la Informació.

Molts dels problemes informàtics s'originen dintre de la mateixa empresa.

Per això és cada vegada més necessari una completa anàlisi del tràfic de: Els correus electrònics corporatius. Les pàgines web que es visiten des dels ordinadors de l'empresa.

Empreses vigilen l'accés dels seus empleats a Internet
Font: infobae.com

Les empreses comencen a controlar l'accés dels seus empleats a Internet
Accés restringit
Una mesura antipàtica
Font: infobaeprofesional.com

Solució a la inseguretat informàtica
Font: belt.es

Quantes vegades un es queixa en l'oficina pel lenta que està la connexió a Internet? És bastant comuna que aquest problema tingui a veure amb l'ús indiscriminat que es fa de la web dintre de l'empresa. L'ús d'Internet per a fins personals en horari d'oficina és una pràctica molt difosa en tot el món. Les empreses tracten de controlar-lo cada vegada més, perquè repercuteix en els seus costos i en el menor temps que els empleats treballen. I això sense tenir en compte els riscos informàtics que implica la navegació per llocs poc segurs.

D'acord amb un estudi realitzat per la American Management Association, el 78 per cent de les empreses nord-americanes vigila les comunicacions dels seus empleats (veure infografia). En Europa aquest percentatge arriba al 70 per cent. Mentre que a Amèrica Llatina i en l'Argentina encara no existeix una cultura empresària procliu al control, però de poc s'està imposant el model nord-americà. "En general, en l'Argentina les empreses comencen a tenir en compte des de l'any passat que Internet no pot ser de lliure ús dintre de l'empresa", sosté Gustavo Aldegani, consultor especialitzat en seguretat informàtica.

Els motius són diversos, i tenen a veure amb el cost que representa per a una empresa el servei de banda ampla, la baixa en la productivitat laboral d'aquells que naveguen diverses hores per dia, el risc informàtic que representa rebre cadenes d'e-mails amb virus o navegar per llocs poc assegurances, el perill que un empleat enviï informació confidencial a la competència, i fins i tot amb l'impacte en la imatge de la companyia si algun empleat envia missatges racistes o agressius des del seu e-mail corporatiu.

"En la primera línia el que es mira és el cost", indica Gabriel Esquerrà, Director de Pràctica de Seguretat Informàtica de Ernst & Young. "Les empreses veuen que estan perdent capacitat de treball i de producció perquè la gent abusa d'Internet, i aquest és un cost". Aldegani, per la seva banda, brinda un exemple: "si una companyia ha de rebre informació d'arxius financers que proveeixen els clients per a processar, i l'ample de banda està estancat perquè hi ha gent navegant, va a tenir un impacte operatiu i econòmic".

Accés restringit

Entre les mesures que adopten les empreses a l'hora de desincentivar l'ús d'Internet, la primera que s'utilitza és limitar l'accés, mitjançant filtres, bloqueig de webmails, xats o d'alguns llocs en particular. En Europa, gairebé el 50 per cent de les companyies ho fan. "Per exemple, -diu Aldegani- a tots els llocs que tinguin a veure amb paraules relacionades amb esport o sexe. En general, les empreses de seguretat o les pàgines que venen productes de seguretat ja tenen llistes prearmadas de paraules a restringir". Existeix el cas d'una important empresa argentina que per a evitar l'accés a pàgines pornogràfices, va adoptar un filtre tan estricte que impedia realitzar recerques de llocs amb paraules com "sisè". Per altra banda, és comú que l'accés es restringeixi d'acord a la jerarquia dintre de la companyia.

Un segon mecanisme que s'utilitza és el de no limitar l'accés però en canvi vigilar qui són els quals més naveguen. "No es pot monitorejar a tots, però el que sí es fa és establir un rànquing dels 20 o 40 empleats que més estan en Internet. I es monitoreja per quins llocs van caminar", explica Aldegani.

Una mesura antipàtica

En general, als empleats no els alegra saber que se'ls ha restringit l'accés o que estan sent vigilats, si és que assoleixen assabentar-se. Perquè són vàries les empreses que instal·len programes de control i de vigilància en les computadores sense informar-los. "La gent que té algun tipus d'experiència amb regulacions o que usualment percep que existeix la necessitat de controlar coses, com per exemple els empleats bancaris, al principi tenen un rebuig però ràpidament s'alineen. Entenen la necessitat i el risc", expressa Zurdo.

Aldegani posa el focus que l'ús indiscriminat d'Internet en l'oficina pot ser reflex de problemes més seriosos dintre d'una empresa. "Si un entra a una sala de boxes d'una empresa i veu a la meitat dels empleats llegint revistes de qualsevol cosa, o navegant en qualsevol costat, un diu "aquesta empresa està en problemes"", diu Aldegani.

Si bé en l'Argentina recén comença a difondre's entre les organitzacions el control de l'accés a Internet, existeix un problema més greu i és el d'aplicar controls que siguin ineficients. "Moltes empreses diuen que adopten amidades de control, i quan un prova aquestes normes, es troba amb que en realitat es tracta d'un control mal fet", assenyala Esquerrà. "I està molt difosa la falsa creença que s'estan fent les coses bé. Les empreses més noies és on més es donen aquests mecanismes ineficients, però algunes grans no escapen a aquestes qüestions".

La cridada Llei de Moore, segons la qual 'la densitat dels circuits integrats en cada xip es doblegaria cada any i mig' suposa que, en una dècada, els equips informàtics en el mercat són 60 vegades més potents, una mica que no té equivalència en cap altra tecnologia. Avanços com aquest són els quals han permès la digitalització de les comunicacions, la convergència de la informàtica i les telecomunicacions i el desenvolupament d'Internet, revolucionant la capacitat de tractar la informació i la seva transmissió. Tot això, a més del seu efecte en la productivitat de les economies i constatant alhora l'absoluta dependència de l'economia global d'aquestes tecnologies.

L'ús creixent de sistemes informàtics i xarxes obertes està contribuint a crear un entorn que pretén traduir les normes del món real al virtual. Aquest comportament ja s'ha convertit en quotidià, i no ho és més per aspectes com l'accessibilitat, la facilitat en l'ús o per la percepció de falta de seguretat.

Davant quins reptes s'enfronta el creixement d'Internet? La infraestructura de la xarxa, la banda ampla i la confiança, o sigui: la seguretat. Els problemes relatius als dos primers es van arreglant en el nostre país, no així el de la seguretat.

El problema de la seguretat ve del propi concepte d'Internet: és una xarxa oberta i digital. AL ser oberta interconnecta i integra a diverses parts, eliminant fronteres entre sistemes i això és tan útil com perillós. AL ser digital, permet la creació d'automatismes amb gran capacitat de difusió i dirigits a distància, el que incrementa el risc d'atacs informàtics.

Els departaments informàtics de les empreses s'han advertit d'aquests riscos i estan incrementant les dotacions en inversions en seguretat. Les dades preocupen: diàriament es descobreixen entre dues i cinc noves vulnerabilitats; el 90% de les empreses ha detectat problemes de seguretat en els últims 12 mesos. Els problemes de seguretat per als fluixos d'informació en aquests entorns són, bàsicament, quatre: l'autenticació, saber que la informació prové de qui se suposa; la integritat, que la informació no hagi estat alterada des del seu enviament fins a la seva recepció; la confidencialitat, que no hagi estat interceptada per tercers, i el no repudi, la constància irrebatible d'haver enviat o rebut la informació. Sense la tecnologia adequada es poden trencar aquestes característiques.

Afortunadament, existeix tot un conjunt de solucions tecnològiques que contraresten aquests problemes. Entre unes altres, els tallafocs, antivirus, *passwords, *tokens i signatura digital (sobre tecnologia *PKI). Cal constatar en qualsevol cas que no pot existir una seguretat total. Però ni en Internet ni en cap lloc. Finalment, la seguretat es basa en la correcta gestió dels riscos, optimitzant la relació entre els riscos assumits i els mitjans invertits.

No es tracta d'un producte, sinó d'un procés, i aquest procés és al seu torn tan segur com la baula més feble. És vital per tant conèixer els riscos annexos a aquest procés. Aquest deu basar-se, d'una banda, en l'adequada combinació de maquinari, programari, xarxes, personal i política de seguretat. Per un altre, en la combinació de l'arquitectura de seguretat i la seva correcta implantació. De fet, el 80% dels problemes prové de la forma d'implantar els sistemes i els seus procediments.

Una empresa deu tenir en compte que el negoci depèn del seu sistema informàtic, que hi ha una legislació i una normativa internacional l'aplicació de la qual pot tenir serioses conseqüències en l'economia de l'empresa i, com corol·lari, que la credibilitat és vital per a les organitzacions. Els riscos que devem conèixer, reconèixer i saber gestionar són diaris i de tot tipus i calibre. Els problemes arriben per correu, un no s'adóna quan li ataquen, els PC no es van dissenyar per a guardar dades confidencials, les màquines s'espatllen i, encara que el personal no sap el mínim necessari d'informàtica, probablement algú en la plantilla sap més que el responsable de sistemes.

El factor humà no és precisament el menys important dels agents que devem considerar en la implantació d'un sistema de seguretat. Davant la introducció d'elements segurs, com poden ser les tècniques criptogràfiques, alguns usuaris poden reaccionar de forma pueril desarticulant tot el procés amb comportaments com no voler (o oblidar o simular oblidar) xifrar els fitxers o correus, imprimir els codis i deixar-los en la impressora (o en la taula, o en la paperera, o...), no utilitzar passwords de qualitat... i l'adreça pot estar temptada de facilitar les coses als usuaris més que de millorar la seguretat de la companyia.

Totes les enquestes realitzades a empreses sobre assumptes relacionats amb la seguretat proclamen amb grans caràcters la preocupació interna sobre aquests temes. A manera d'exemple es poden citar dades com que el 90% de les empreses ha detectat problemes de seguretat en els últims 12 mesos, o que el 80% reconeix pèrdues financeres; el 40% ha sofert intrusions des de l'exterior; el 38% ha comprovat que s'han efectuat accessos no autoritzats des de l'interior de la pròpia empresa, per no parlar dels abusos comesos en l'accés a Internet, que ha patit el 78%.

Si l'escenari és tan nítid, què fan (o deixen de fer) les empreses quant a la seva estratègia de seguretat? Segons els estudis de Asimelec, el nivell d'implantació de sistemes de seguretat és clarament deficient. Solament quan les empreses tenen més de 250 treballadors les xifres relatives a la LOPD i el pla de continuïtat ronden una contestació positiva del 60% de les empreses. Només poden considerar-se com realment consolidades dues tecnologies: els antivirus i els tallafocs (firewalls), amb una penetració de certa importància de l'autenticació.

Una ràpida reflexió indica almenys dues coses; d'una banda, l'escassa presència d'aquestes tecnologies i, per un altre, que la perspectiva de les companyies se centra en una seguretat perifèrica que les protegeixi dels atacs exteriors.

Les empreses espanyoles deuen assimilar que la seguretat no és una opció, és una obligació per a qualsevol empresa. Com decisió estratègica, la política de seguretat deu estar basada en l'anàlisi i gestió del risc, bé definida i implantada en tota l'entitat. I finalment, que l'avaluació de l'eficàcia dels mecanismes aplicats deu ser permanent, perquè la seguretat és un procés, no un producte, i la seva implantació no és una opció, sinó una necessitat.