Por Dan Velez, Director de Operaciones sobre Amenazas Internas en Forcepoint
Casi un 75% de las organizaciones son vulnerables a las amenazas internas, de acuerdo con una investigación realizada por Palerra; pero únicamente el 42% cuenta con los controles adecuados para prevenirlas.
Normalmente las organizaciones no logran establecer estos controles debido a que se sienten abrumadas por la complejidad del problema, algo que se le conoce como el síndrome de “¿Por dónde comenzamos?”.
A continuación se exponen tres pasos sencillos y efectivos:
1. Siente las bases de su programa para la gestión de riesgos. Con frecuencia me invitan a asistir a reuniones con los clientes para hablar sobre las amenazas internas, y las salas de conferencias siempre están llenas con ingenieros de TI. Están deseosos de seguir adelante con una estrategia que gira completamente alrededor de la tecnología, dejando a los componentes del negocio y de “la gente” fuera de la ecuación.
Lo que se necesita es la participación de los líderes en la gestión de riesgos, para nosotros poder alinear todo lo que estamos haciendo con el negocio en cuestión. A través del análisis óptimo de la gestión de riesgos, determinamos lo que es importante respecto a nuestra organización, y de qué manera las amenazas pueden evitar que cumplamos con los objetivos estratégicos.
Como parte de esto, se puede realizar un inventario para identificar las “joyas de la corona” que están dentro de los datos, ¿cuáles son y dónde se encuentran?, y desarrollar un plan de gestión de riesgos para proteger a cada una. El plan debe cubrir no solamente a las soluciones técnicas, sino también al elemento humano.
2. Ponga a alguien a cargo. Cada barco necesita un capitán, ¿cierto? Su iniciativa no irá a ninguna parte si usted no logra designar a una persona que no tenga las habilidades necesarias para encabezarla. Una vez más, el director no progresa con remedios estrictamente “técnicos”. Tal vez no tenga gran experiencia con las soluciones de seguridad electrónica, pero debe ser capaz de combinar una visión de gestión de riesgos con una técnica para generar valor y una respuesta perdurable a las amenazas internas, que sea consistente cuando se aplica a una sección representativa de los departamentos en toda la empresa.
3. Capacite, capacite, capacite… Aquí es donde la parte de “la gente” entra a escena. Usted ha incorporado una visión de gestión de riesgos; ahora tiene que llevar su programa y su mensaje a quienes representan a ese factor decisivo en términos del éxito del futuro: sus empleados. Ya que nuestro propósito final es esencial, vamos a desglosarlo en cuatro componentes de capacitación críticos:
Definición de la amenaza interna. Las amenazas internas tienen muchos matices. Son los empleados maliciosos que roban datos intencionalmente, sabotean los sistemas, etc., porque no fueron tomados en cuenta para recibir un ascenso, un aumento o simplemente porque odian a sus jefes o sus trabajos.
Además, son infiltrados “accidentales” que no le tienen mala voluntad a sus organizaciones, pero que siguen siendo un peligro debido a que tienen comportamientos de riesgo. También están los terceros, contratistas y socios cuyo nivel de riesgo se convierte en nuestro nivel de riesgo debido a nuestras asociaciones e interdependencias de los sistemas, las aplicaciones, las herramientas de comunicación, etc. Debe lograr que sus empleados entiendan todas las formas de amenazas internas.
Ilustrar cómo es la actividad de las amenazas internas. Aquí es donde usted educa al personal sobre qué buscar y qué hacer. Para abordar los escenarios de amenazas internas accidentales, usted debe elevar el conocimiento sobre los peligros de compartir contraseñas, y la necesidad de cambiarlas con frecuencia al tiempo de evitar usar contraseñas sencillas y predecibles.
Los empleados también deben estar al día con las técnicas de phishing más recientes: ¿cómo llegó ese enlace y cómo sé si puedo confiar en la fuente? En cuanto a los empleados internos con intensiones maliciosas, el personal deber saber cómo reconocerlos… ¿Un colega siempre se queja del trabajo, de la compañía, etc., y está transfiriendo archivos constantemente a una unidad de almacenamiento USB? ¿Los archivos no están relacionados con su trabajo? ¿Inicia sesión desde lugares desconocidos y a deshoras? Debe explorar estas y otras señales clásicas de problemas.
Explicar por qué esto es importante. No pase por alto la pregunta “¿a quién le importa?”, porque sus empleados la van a hacer, ya sea abiertamente o entre ellos mismos. Infórmeles sobre el potencial que tienen las amenazas internas de interrumpir la productividad, detener los sistemas, provocar pérdidas, dañar a la reputación y afectar la estrategia, lo cual podría tener consecuencias devastadoras que afectan prácticamente a todos, pues el costo de los incidentes provocados por las amenazas internas es de 4.3 millones de dólares en promedio, según la investigación del Ponemon Institute.
Anunciar lo que está haciendo la organización. Mediante presentaciones, materiales impresos y recursos en línea, explique a su gente las acciones inmediatas y de largo plazo. Esto incluye los controles técnicos y de auditoría. Pero también debe proveer información de utilidad a través de un sitio web central en el cual el personal pueda consultar las tendencias más recientes en amenazas internas e incluso compartir las mejores prácticas.
Con un plan “amplio” de la gestión de riesgos, una persona a cargo y la capacitación/educación continua, usted cultiva una cultura de prevención de amenazas internas. Y la cultura está en el tablero de anuncios de la oficina y en la señalización. Ésta deberá colocarse en el comedor en donde los empleados se reúnen para compartir lo que están observando; en sus buzones de correo electrónico, cuando el encargado de vigilar a las amenazas internas envía las noticias más recientes sobre el tema así como las recomendaciones.
A medida que se consolida la cultura de la prevención, usted reduce el potencial rechazo hacia las tecnologías que pronto introducirá para monitorear la actividad de las amenazas internas y prevenirlas/mitigarlas. Sin dicha cultura, las tecnologías podrían resultar intimidantes para los empleados. Pero una vez que entienden lo que está en juego, no sólo aceptarán los cambios y el programa en general, también se convertirán en sus mejores aliados, pues son “propósitos” que vale la pena cumplir.
