Consejo para el manejo seguro de las TIC.
El uso de las TIC en acciones vinculadas al objeto social de la institución y la entrada a sitios de riesgos.
Una de las mayores preocupaciones de las organizaciones está en la utilización de los recursos de las Tecnologías de la Información y Comunicación (TIC) cuyos fines que se divorcian de las acciones enfocadas al cumplimiento de las misiones que tienen establecidas.
Esta acciones “no laborales” o entradas a sitios de riesgo implican consecuencias graves que no se tienen en cuenta por muchos usuarios cuando siguen el principio de que el fin justifica los medios.
Este accionar puede analizarse desde varias aristas. Las consecuencias más criticas están relacionadas con la ciberseguridad, donde se concentran las amenazas más peligrosas e inmediatas.
Debe destacarse entre las consecuencias la infección por código maligno, en especial por ransomware. La visita a sitios de dudosa reputación donde se agrupan las apuestas, la piratería, el contenido adulto o las descargas no autorizadas, expone a los usuarios a múltiples tipologías de programas maliciosos.
Los ciberdelincuentes aprovechan el interés de las personas en este tipo de contenido para depositar junto a ellos la carga maligna que sirve a sus objetivos. Si a esto se suma que las incursiones se realizan desde activos institucionales las consecuencias pueden ser desastrosas. Por ejemplo, un ataque de ransomware es capaz de cifrar archivos esenciales para una organización y paralizar sus operaciones, generando pérdidas y demandas que incluyen el “rescate” por parte de los ciberdelincuentes.
Estas incursiones de los usuarios en sitios de riesgos pueden generar además brechas en datos y pérdida de información, incluida la confidencial. Los códigos malignos pueden estar diseñados para robar información: datos financieros, propiedad intelectual, estrategias de desarrollo, bases de datos y también la información de empleados o de terceros.
Esto repercute en pérdidas de ventajas competitivas, reclamaciones por incumplimiento de regulaciones de protección de datos, ataques de phishing y suplantación de identidad, entre otros. Estos sitios maliciosos son con mucha frecuencia el vector de ataque de esta tipología, pero muy avanzados, porque un usuario puede ser engañado e instado a que ingrese sus credenciales institucionales en una página falsa, dando a los ciberdelincuentes acceso lícito a los sistemas de la organización.
>Este tipo de acciones una consecuencia esencial es la creación de redes Botnet. Así a través de un equipo infectado se puede controlar de forma remota una red «zombi” (botnet) que se utiliza para realizar ciberataques a otras organizaciones, enviar SPAM o desarrollar la minería de criptomonedas, consumiendo recursos de red en el tráfico y la electricidad de la empresa, entre otros.
Este tipo de accionar también genera consecuencias desde el punto de vista de las operaciones y de la productividad.
<p align="justify"El fondo de tiempo laboral de los empleados se dilapida cuando lo dedican a navegar por redes sociales, ver videos, hacer compras en línea o revisar mensajes personales. Este tiempo es “robado” a los objetivos de la organización. Esto se traduce en proyectos que se atrasan, metas no cumplidas, en fin una reducción del rendimiento.
También se traduce en el consumo de ancho de banda que es utilizada en actividades como streaming de video o descarga de archivos grandes que ralentiza toda la red de la organización. Este ancho de banda que se dilapida, debiera estar dedicado a operaciones que se reviertan en beneficio de la institución.
Este tipo de acciones puede llevar al daño y la degradación del hardware o el software. Al instalar software no autorizado o visitar sitios con scripts “pesados” puede provocar problemas en el funcionamiento de los equipos, la saturación del espacio en disco y la necesidad de reinstalaciones frecuentes, lo que incrementa la carga de trabajo y reduce en rendimiento de la red institucional.
Otra consecuencia de la que se habla muy poco está en el ámbito de lo judicial y legal. Las incursiones de un empleado puede involucrar a la organización en acciones ilegales que se revierten en reclamaciones y demandas a partir de la identificación de la IP (Protocolo de internet que identifica los activos) de origen desde donde se realizaron las acciones.
En este ámbito también debe incluirse el acoso laboral y un ambiente de trabajo hostil como consecuencia del acceso a contenidos inapropiados (sexista, racista o violento) que es visto por otros compañeros, sin contar que la institución puede enfrentar demandas por permitir un ambiente de trabajo hostil.
Estas consecuencias mencionadas gravitan también en la esfera económica. Son un ejemplo los gastos en que se incurre para remediar los problemas resultantes de este tipo de acciones: gastos asociados a la limpieza de infecciones, recuperación de datos tras un ataque de ransomware y la contratación de consultores externos en ciberseguridad, multas y sanciones, pérdida de ingresos por interrupciones y sobre todo el daño a la imagen corporativa y su reputación, pues estas situaciones son vistas como brechas en las prácticas de seguridad.
Un ejemplo de esta situación es la inclusión del dominio y las direcciones IP institucionales en listas negras internacionales, lo que genera no solo el daño moral, sino también los mensajes de error al no lograrse la conclusión de las comunicaciones iniciadas desde la organización.
El abuso y la falta de enfoque de algunas personas en el uso de los recursos informáticos institucionales crea un ambiente de frustración y resentimiento por el daño moral que se produce y que incide entre quienes sí cumplen con las reglas. Esto sin contar en la reducción de la capacidad de concentración y la calidad del trabajo.
Es por ello, que permitir que los recursos TIC se utilicen de manera indiscriminada y sin control no es simplemente un tema de pérdida de tiempo. Es una amenaza crítica a la supervivencia institucional que incide en la seguridad financiera, legal y operativa.
Por estas razones es esencial que se mantenga a vista la formación continua en temas de ciberseguridad para conocer los riesgos y las políticas de uso aceptable de las TIC en la institución, lo que se vincula estrechamente a los controles técnicos que se establecen a través de los cortafuegos, el filtrado de contenido web, antivirus avanzado, junto a los sistemas de prevención de intrusiones.
Como se aprecia todos los usuarios de las TIC tienen responsabilidad en la temática, no solo por lo referido a las deberes a cumplimentar establecidos en la resolución 128/19, sino también como parte de la tenencia de un modo de actuación que parta de posiciones abiertas, seguras, responsables, éticas y críticas ante los aportes de las TIC.