A medida que el mundo digital sigue creciendo, también lo hacen el volumen, la variedad y la velocidad de las ciberamenazas y los ataques. El mundo está repleto de datos y siempre hay alguien que intenta convertirlos en su propia moneda virtual.
Hoy en día, el malware y el ransomware están afectando a todo, desde nuestros teléfonos móviles personales hasta las infraestructuras de misión crítica y las cadenas de suministro. Ya sea suplantación de identidad, Smishing, o pescando, los atacantes también se están volviendo más sofisticados y utilizan detalles sobre nuestra vida personal y laboral para tentarnos a compartir nuestros datos.
Pero en un mundo en el que todo el mundo es un objetivo, las empresas también tienen que entender su exposición a los riesgos que provienen de dentro sus organizaciones. Hoy en día, más de 300 millones de personas trabajan de forma remota (crean, acceden, comparten y almacenan datos dondequiera que vayan) y las filtraciones de datos derivadas de amenazas internas y simples percances pueden costar a las empresas una media de 7,5$ de dólares al año. Tenga en cuenta la violación de datos de la aplicación Cash en 2022, donde un exempleado accedió a los informes financieros de los clientes tras ser despedido. Es probable que la infracción haya afectado a 8,2 millones de clientes actuales y anteriores.
En última instancia, no importa si la infracción fue intencional o accidental. Los programas de riesgo interno deberían formar parte de la estrategia de seguridad de cada empresa. Para tener éxito, las organizaciones deben liderar con sus empleados como socios en este esfuerzo y complementar su programa con herramientas avanzadas que detecten y mitiguen los riesgos internos dondequiera que surjan.
He aquí cuatro lecciones que aprendí como CISO en Microsoft, gestionando nuestro programa de riesgos internos a medida que pasó de ser una pequeña iniciativa interna a una unidad de negocio que depende del CEO.
1. Priorice la confianza y la privacidad de los empleados
Este punto es lo primero por una razón. En los negocios y en la vida, la confianza es la clave de cualquier relación que funcione. Los mejores programas de riesgo interno hacen hincapié en el equilibrio entre la privacidad de los empleados y la seguridad de la empresa. Es fundamental elaborar políticas y controles de privacidad que mantengan, e incluso aumenten, la confianza.
Configurar herramientas para analizar indiscriminadamente las actividades de los empleados en busca de malas acciones no solo es ineficaz y contraproducente, sino que simplemente está mal. Es una invasión de la privacidad que crea ansiedad y erosiona la relación. Las organizaciones tienen que ser capaces de detectar los riesgos internos, pero tienen que hacerlo de la manera correcta, actuando de forma transparente y dentro de un ámbito definido de forma limitada para demostrar respeto y extender la confianza a los empleados.
Configurar controles de privacidad que protejan las identidades en el trabajo, incluso durante las investigaciones, hace que la gente sepa que usted también las protege. El uso del acceso basado en roles para las herramientas de gestión de riesgos internos también ayuda a garantizar que la persona adecuada revise las alertas de cumplimiento, lo que evita que sospechas injustificadas lleguen a la organización.
2. Colabore en todas las funciones
Si bien los grupos de IT y seguridad marcarán el camino, el riesgo interno es un problema empresarial que afecta a toda la empresa. En Microsoft, lo aprendimos con el tiempo. Lo que comenzó como una iniciativa en nuestra organización de seguridad se convirtió en un esfuerzo unificado en todos los grupos empresariales, incluidos el departamento legal, de recursos humanos y el personal directivo sénior.
Esta amplia participación ayuda a garantizar una mayor participación y proporciona perspectivas y recursos adicionales, como que el departamento legal dé prioridad a las regulaciones emergentes y los programas de formación y encuestas para facilitar los recursos humanos. Un comité de riesgo interno o un defensor del pueblo pueden ayudar a iniciar la conversación. Una de sus primeras tareas debería ser crear un plan de respuesta que describa cómo se comparte la información, cuándo y qué contribuye cada grupo, quién toma qué decisiones y quién es responsable.
También es importante tener objetivos compartidos con medidas claras del éxito. Puede ajustar el proceso cuantificando los parámetros clave, como el número de casos planteados, las señales de verdaderos positivos y falsos positivos y las acciones emprendidas como resultado de las conclusiones. Si tiene un número elevado de falsos positivos, corre el riesgo de sobrecargar a sus equipos legales y de recursos humanos con investigaciones costosas e innecesarias.
3. Reconozca que los empleados son la primera y la última línea de defensa
Lograr que los empleados participen en la formación sobre protección de datos y cumplimiento puede resultar difícil, pero es importante que sepan cómo mitigar los riesgos de seguridad y por qué es una prioridad. Las formaciones que hacen hincapié en la administración de los datos muestran que la organización extiende su confianza a los empleados cuando prestan servicio a la empresa.
Enseñe a la gente a gestionar correctamente los datos de la organización y repita ese mensaje con regularidad para que esté siempre actualizado. También ayuda a hacerlo personal. La mayoría de las personas entienden y participan inmediatamente en cómo proteger sus propios datos financieros y sanitarios. Al incluir un aspecto personal en la formación, se descubre también la importancia de la protección de datos para la empresa.
Formar a las personas sobre el principio de «ver algo, decir algo» sin riesgos es una capacidad fundamental para un programa de información privilegiada. Al mejorar la educación y la formación sobre seguridad de los datos, las empresas pueden capacitar a los empleados como primera y última línea de defensa, que se complementa con herramientas de detección.
4. Utilice las herramientas de aprendizaje automático para hacer más con menos
Gartner define la gestión de riesgos internos como «las herramientas y capacidades para medir, detectar y contener el comportamiento no deseado de las cuentas de confianza de la organización». Y las herramientas de gestión de riesgos internos se han vuelto mucho más precisas y eficaces en los últimos años.
Las herramientas más antiguas tienden a pasar por alto los indicadores sutiles que pueden identificar a un mal actor que intenta ocultar sus huellas. También suelen incluir controles demasiado estrictos que reducen la productividad y fomentan soluciones alternativas. Hoy en día, está surgiendo una nueva generación de herramientas de gestión de riesgos internos con capacidades de seguridad adaptativas que pueden detectar actividades de riesgo y mitigar cualquier posible impacto, a la vez que se mantienen al margen y mantienen la información de los usuarios privada.
Si una actividad como imprimir un archivo confidencial puede no mostrar su intención, una secuencia de actividades conectadas, como cambiar el nombre del archivo y, a continuación, eliminarlo tras imprimirlo, podría indicar algo más grave. Mediante el aprendizaje automático, estas herramientas pueden separar la señal del ruido e identificar las acciones sutiles, lo que reduce los falsos positivos que pueden empantanar a la organización.
Un programa de riesgo interno exitoso se centra en las personas, los procesos y las tecnologías
Gestionar los riesgos internos y externos es vital para la seguridad de cualquier organización. Cada uno tiene sus propios desafíos, pero lo que hace que la gestión de riesgos internos sea especialmente difícil es la necesidad de equilibrar las personas, los procesos y las tecnologías.
Las herramientas poderosas pueden ayudar a impedir, detectar y responder a los riesgos internos, pero no abordarán las causas fundamentales. Ahí es donde son útiles los programas detallados de incorporación, seguridad, ejercicios de formación de equipos y programas de equilibrio entre la vida laboral y personal. Crear un entorno de trabajo saludable ayuda a reducir el riesgo de que un empleado participe intencionalmente en conductas peligrosas. Pero al final del día, lograr el equilibrio entre las personas y la tecnología es lo más importante. La gestión de riesgos tiene que ser proactiva y continua, y se necesita confianza, transparencia y colaboración para mantener ese motor en marcha. Esta filosofía (las personas primero, respaldada por una tecnología poderosa) es la única manera de prevenir los incidentes antes de que ocurran, detectarlos si se producen y responder a ellos de forma rápida y eficaz.
