Tres cuartas partes de las organizaciones son vulnerables ante dichas amenazas.
Al hacer nuestros propósitos para el año que inicia; sabemos de antemano que algunas de esas “promesas” son más fáciles de cumplir que otras. Pero algo que nos ha enseñado la experiencia, es que tenemos más éxito para cumplirlas cuando nuestros objetivos tienen beneficios tangibles y es más real alcanzarlos: Esto permite conocer qué resultados positivos vamos a obtener y en caso de no cumplirlos, no nos agobiará al punto de darnos por vencidos.
Deberíamos adoptar la misma actitud cuando “nos hacemos el propósito” de enfrentar la alta presencia de amenazas internas, pues de acuerdo con una investigación realizada por Palerra, casi tres cuartas partes de las organizaciones son vulnerables ante dichas amenazas; únicamente el 42% cuenta con los controles adecuados para prevenirlas.
He descubierto que normalmente las organizaciones no logran establecer estos controles, debido a que se sienten abrumados por la complejidad del problema, algo que se le conoce como el síndrome de: “¿Por dónde comenzamos?”. Así que le recomiendo afrontarlo como uno de sus propósitos de Año Nuevo, siguiendo tres pasos sencillos y que tienen gran impacto:
1. Siente las bases de su programa para la gestión de riesgos. Con frecuencia me invitan a reuniones con clientes para hablar sobre las amenazas internas. Las salas de conferencias siempre están llenas con ingenieros de TI, deseosos de seguir adelante con una estrategia que gira completamente alrededor de la tecnología, dejando fuera de la ecuación a los componentes del negocio y de “la gente”. Lo que se necesita es la participación de líderes en la gestión de riesgos, para nosotros poder alinear todo lo que estamos haciendo con el negocio en cuestión. A través del análisis óptimo de la gestión de riesgos, determinamos lo que es importante respecto a nuestra organización, y de qué manera las amenazas pueden evitar que cumplamos con los objetivos estratégicos. Como parte de esto, se puede realizar un inventario para identificar las “joyas de la corona” que están dentro de los datos, ¿cuáles son y dónde se encuentran?, y desarrollar un plan de gestión de riesgos para proteger a cada una. El plan debe cubrir no solamente a las soluciones técnicas, sino también al elemento humano.
2.- Ponga a alguien a cargo. Cada barco necesita un capitán, ¿cierto? Su iniciativa no irá a ninguna parte si usted no logra designar a una persona que no tenga las habilidades necesarias para encabezarla. Una vez más, el director no progresa con remedios estrictamente “técnicos”. Tal vez no tenga gran experiencia con las soluciones de seguridad electrónica, pero debe ser capaz de combinar una visión de gestión de riesgos con una técnica para generar valor, y una respuesta perdurable a las amenazas internas, que sea consistente cuando se aplica a una sección representativa de los departamentos en toda la empresa.
3.- Capacite, capacite, capacite… Aquí es donde el elemento humano “la gente” entra a escena. Usted ha incorporado una visión de gestión de riesgos; ahora tiene que llevar su programa y su mensaje a quienes representan a ese factor decisivo en términos del éxito del futuro: sus empleados. Ya que nuestro propósito final es esencial, vamos a desglosarlo en cuatro componentes de capacitación críticos:
– Definición de la amenaza interna. Las amenazas internas tienen muchos matices. Son los empleados maliciosos que roban datos intencionalmente, sabotean los sistemas, entre otros, porque no fueron tomados en cuenta para recibir un ascenso, un aumento o simplemente porque odian a sus jefes o sus trabajos. Además, son infiltrados “accidentales” que no le tienen mala voluntad a sus organizaciones, pero que siguen siendo un peligro debido a que tienen comportamientos de riesgo. También están los terceros, contratistas y socios cuyo nivel de riesgo se convierte en nuestro nivel de riesgo, debido a nuestras asociaciones e interdependencias de los sistemas, las aplicaciones, las herramientas de comunicación, etc. Debe lograr que sus empleados entiendan todas las formas de amenazas internas.
– Ilustrar cómo es la actividad de las amenazas internas. Aquí es donde usted educa al personal sobre qué buscar y qué hacer. Para abordar los escenarios de amenazas internas accidentales, usted debe elevar el conocimiento sobre los peligros de compartir contraseñas, y la necesidad de cambiarlas con frecuencia al tiempo de evitar usar contraseñas sencillas y predecibles. Los empleados también deben estar al día con las técnicas de phishing más recientes: ¿cómo llegó ese enlace y cómo sé si puedo confiar en la fuente? En cuanto a los empleados internos con intensiones maliciosas, el personal deber saber cómo reconocerlos… ¿Un colega siempre se queja del trabajo, de la compañía, etc., y está transfiriendo archivos constantemente a una unidad de almacenamiento USB? ¿Los archivos no están relacionados con su trabajo? ¿Inicia sesión desde lugares desconocidos y a deshoras? Debe explorar estas y otras señales clásicas de problemas.
Por: Dan Vélez
Director de Operaciones sobre Amenazas Internas en Forcepoint
