Los ex miembros de la junta directiva pueden causar dolores de cabeza a la seguridad

Las personas con información confidencial se encuentran entre las mayores amenazas de seguridad para la red y los datos de una empresa.

Si bien las conversaciones sobre amenazas a menudo se concentran en errores accidentales de personas con información confidencial, a una clase de estas personas con frecuencia no se le presta atención: los antiguos integrantes de la organización, incluidos los ex miembros de la junta directiva.

Con demasiada frecuencia, los departamentos de TI no eliminan las cuentas en la red de personas que antes manejaban información confidencial. En el caso de los miembros de las juntas directivas, puede ser que a los departamentos de TI no se les alerte de inmediato sobre quiénes ya no deben tener ese acceso.

De acuerdo con un estudio de IS Decisions, una tercera parte de los ex integrantes de la organización continúa teniendo acceso a la red de la empresa. Una cuarta parte del personal de TI no hace nada para revocar el acceso a la red cuando una persona que manejaba información confidencial deja la empresa, determinó el estudio. Esto significa que los ex integrantes aún tienen sus cuentas intactas, todos los nombres de usuario y contraseñas permanecen activos y toda autenticación para acceso a bases de datos, archivos sensibles y propiedad intelectual se mantiene en vigor.

El estudio de IS Decisions se enfocó principalmente en ex empleados, las personas que antes usaban la red continuamente y cuya terminación de contrato pasó por distintos departamentos de la empresa. Incluso si el departamento de TI actúa para desactivar estas cuentas, ello puede tomar hasta una semana o más, lo que deja suficiente tiempo para que ex integrantes descontentos causen daño.

A veces hay una tenue conexión entre las juntas directivas y la seguridad informática corporativa. Como Sanford Sherizen escribió para Tech Target, “Si bien la seguridad de la información es crucial para el futuro de la empresa, esta compite con otras prioridades críticas por la atención de la junta directiva — como preparar las cifras del próximo trimestre”. Mientras más sepan los miembros de la junta sobre seguridad informática corporativa mientras ocupan un lugar en la junta, más estarán dispuestos a respetar esa seguridad cuando dejen la empresa.

Por supuesto, la forma en que un miembro de la junta directiva se convierte en ex miembro de la junta directiva es importante para la lealtad de ese miembro a la organización. Un miembro de la junta directiva que está limitado a un período o períodos fijos o que solicita un permiso laboral probablemente tendrá una actitud más positiva en torno a la empresa que alguien que es forzado a marcharse en contra de su voluntad.

Un ex miembro de junta directiva descontento podría ser tan peligroso como un ex empleado descontento, y de acuerdo con informes del FBI, indicó Bloomberg, se ha sabido de ex integrantes con información confidencial descontentos que “extorsionan a sus empleadores a cambio de ganancias financieras mediante la modificación y la restricción del acceso a sitios web de la empresa, la inhabilitación de funciones del sistema de gestión de contenido y la conducción de ataques de denegación de servicio distribuido”. También son responsables de pérdidas financieras significativas y robo de propiedad intelectual.

La prevención de que ex miembros de la junta directiva se conviertan en una amenaza a la seguridad comienza cuando son miembros activos de la junta. En primer lugar, como debería hacer una organización con cualquier empleado, las juntas directivas deben tener solo el acceso a la red que necesiten. Si todas sus interacciones pueden tener lugar a través de un software para juntas directivas, por ejemplo, ese es el único acceso a la red que se les debería otorgar. El departamento de TI debe supervisar cuidadosamente cualquier credencial privilegiada.

Segundo, evitar un rastro de papeles. Cada vez que se imprimen y distribuyen archivos de la junta directiva, la organización pierde control. El miembro de la junta puede copiar y conservar esos archivos, incluso si se supone que se deben destruir. Un rastro de papeles puede conducir a filtraciones y sabotaje cuando cae en las manos equivocadas. En lugar de ello, las organizaciones deberían considerar mantener todo lo que se pueda en formato digital, controlado por la propia organización.

Finalmente, cuando un miembro de la junta se marcha, todo acceso a la red se debe suspender de inmediato, incluido el acceso al software para juntas directivas.

“Los ataques internos son una de las mayores amenazas que enfrentan sus datos y sistemas”, dijo Cortney Thompson, director de tecnología de Green House Data, a la revista CIO. Reconocer que los ex miembros de la junta directiva podrían ser un riesgo y tomar acciones para evitar estos riesgos sería un gran avance en la prevención de posibles incidentes de seguridad.