Contenido Exclusivo

Tres propósitos a cumplir para erradicar amenazas internas

Estamos en la época en que hacemos nuestros propósitos para el año que inicia. Por supuesto, sabemos de antemano que algunas de esas “promesas” son más fáciles de cumplir que otras. Pero si hay algo que nos ha enseñado la experiencia es que tenemos más éxito para cumplirlas cuando nuestros objetivos tienen beneficios tangibles y es más real alcanzarlos: esto permite conocer qué resultados positivos vamos a obtener. Y cumplirlos no nos agobiará al punto en el que nos demos por vencidos.

Deberíamos adoptar la misma actitud cuando “nos hacemos el propósito” de enfrentar la alta presencia de amenazas internas, pues casi tres cuartas partes de las organizaciones son vulnerables ante dichas amenazas, de acuerdo con una investigación realizada por Palerra. Pero únicamente el 42% cuenta con los controles adecuados para prevenirlas.

He descubierto que normalmente las organizaciones no logran establecer estos controles debido a que se sienten abrumados por la complejidad del problema, algo que se le conoce como el síndrome de “¿Por dónde comenzamos?”. Así que le recomiendo afrontarlo como lo haría con un propósito de Año Nuevo, siguiendo tres pasos sencillos y que tienen gran impacto:

1. Siente las bases de su programa para la gestión de riesgos. Con frecuencia me invitan a asistir a reuniones con los clientes para hablar sobre las amenazas internas, y las salas de conferencias siempre están llenas con ingenieros de TI. Están deseosos de seguir adelante con una estrategia que gira completamente alrededor de la tecnología, dejando a los componentes del negocio y de “la gente” fuera de la ecuación.

Lo que se necesita, le digo, es la participación de los líderes en la gestión de riesgos, para nosotros poder alinear todo lo que estamos haciendo con el negocio en cuestión. A través del análisis óptimo de la gestión de riesgos, determinamos lo que es importante respecto a nuestra organización, y de qué manera las amenazas pueden evitar que cumplamos con los objetivos estratégicos.

Como parte de esto, se puede realizar un inventario para identificar las “joyas de la corona” que están dentro de los datos,  ¿cuáles son y dónde se encuentran?, y desarrollar un plan de gestión de riesgos para proteger a cada una. El plan debe cubrir no solamente a las soluciones técnicas, sino también al elemento humano. (Daré más detalles más adelante, en nuestro tercer y último “propósito”).

2. Ponga a alguien a cargo. Cada barco necesita un capitán, ¿cierto? Su iniciativa no irá a ninguna parte si usted no logra designar a una persona que no tenga las habilidades necesarias para encabezarla. Una vez más, el director no progresa con remedios estrictamente “técnicos”. Tal vez no tenga gran experiencia con las soluciones de seguridad electrónica, pero debe ser capaz de combinar una visión de gestión de riesgos con una técnica para generar valor y una respuesta perdurable a las amenazas internas, que sea consistente cuando se aplica a una sección representativa de los departamentos en toda la empresa.

3. Capacite, capacite, capacite… Como lo prometí, aquí es donde la parte de “la gente” entra a escena. Usted ha incorporado una visión de gestión de riesgos; ahora tiene que llevar su programa y su mensaje a quienes representan a ese factor decisivo en términos del éxito del futuro: sus empleados. Ya que nuestro propósito final es esencial, vamos a desglosarlo en cuatro componentes de capacitación críticos.

a) Definición de la amenaza interna. Las amenazas internas tienen muchos matices. Son los empleados maliciosos que roban datos intencionalmente, sabotean los sistemas, etc., porque no fueron tomados en cuenta para recibir un ascenso, un aumento o simplemente porque odian a sus jefes o sus trabajos.

Además, son infiltrados “accidentales” que no le tienen mala voluntad a sus organizaciones, pero que siguen siendo un peligro debido a que tienen comportamientos de riesgo. También están los terceros, contratistas y socios cuyo nivel de riesgo se convierte en nuestro nivel de riesgo debido a nuestras asociaciones e interdependencias de los sistemas, las aplicaciones, las herramientas de comunicación, etc. Debe lograr que sus empleados entiendan todas las formas de amenazas internas.

b) Ilustrar cómo es la actividad de las amenazas internas. Aquí es donde usted educa al personal sobre qué buscar y qué hacer. Para abordar los escenarios de amenazas internas accidentales, usted debe elevar el conocimiento sobre los peligros de compartir contraseñas, y la necesidad de cambiarlas con frecuencia al tiempo de evitar usar contraseñas sencillas y predecibles.

Los empleados también deben estar al día con las técnicas de phishing más recientes:¿cómo llegó ese enlace y cómo sé si puedo confiar en la fuente? En cuanto a los empleados internos con intensiones maliciosas, el personal deber saber cómo reconocerlos… ¿Un colega siempre se queja del trabajo, de la compañía, etc., y está transfiriendo archivos constantemente a una unidad de almacenamiento USB? ¿Los archivos no están relacionados con su trabajo? ¿Inicia sesión desde lugares desconocidos y a deshoras? Debe explorar estas y otras señales clásicas de problemas.

c) Explicar por qué esto es importante. No pase por alto la pregunta “¿a quién le importa?”, porque sus empleados la van a hacer, ya sea  abiertamente o entre ellos mismos. Infórmeles sobre el potencial que tienen las amenazas internas de interrumpir la productividad, detener los sistemas, provocar pérdidas, dañar a la reputación y afectar la estrategia, lo cual podría tener consecuencias devastadoras que afectan prácticamente a todos, pues el costo de los incidentes provocados por las amenazas internas es de $4.3 millones de dólares en promedio, según la investigación del Ponemon Institute.

d) Anunciar lo que está haciendo la organización. Mediante presentaciones, materiales impresos y recursos en línea, explique a su gente las acciones inmediatas y de largo plazo. Esto incluye los controles técnicos y de auditoría. Pero también debe proveer información de utilidad a través de un sitio web central en el cual el personal pueda consultar las tendencias más recientes en amenazas internas e incluso compartir las mejores prácticas.

Con un plan “amplio” de la gestión de riesgos, una persona a cargo y la capacitación/educación continua, usted cultiva una cultura de prevención de amenazas internas. Y la cultura está en el tablero de anuncios de la oficina y en la señalización. Ésta deberá colocarse en el comedor en donde los empleados se reúnen para compartir lo que están observando; en sus buzones de correo electrónico, cuando el encargado de vigilar a las amenazas internas envía las noticias más recientes sobre el tema así como las recomendaciones.

A medida que se consolida la cultura de la prevención, usted reduce el potencial rechazo hacia las tecnologías que pronto introducirá para monitorear la actividad de las amenazas internas y prevenirlas/mitigarlas. Sin dicha cultura, las tecnologías podrían resultar intimidantes para los empleados. Pero una vez que entienden lo que está en juego, no sólo aceptarán los cambios y el programa en general, también se convertirán en sus mejores aliados, pues son “propósitos” que vale la pena cumplir.

-Dan Velez, Director de Operaciones sobre Amenazas Internas en Forcepoint

Lo Más Reciente

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Realizan el segundo Foro de Talento en Data Centers

La Asociación Mexicana de Data Centers, MEXDC, realizó el...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...

Chivas Rayadas del Guadalajara consigue gestionar sus activos de TI de manera más eficiente

El Club Deportivo Guadalajara es uno de los más importantes en México. Con más de 500 colaboradores, requería herramientas para auditar su parque informático,...