Por
Dan Velez, Director de Operaciones sobre Amenazas Internas en Forcepoint
Estamos
en la época en que hacemos nuestros propósitos para el año que inicia. Por
supuesto, sabemos de antemano que algunas de esas “promesas” son más fáciles de
cumplir que otras. Pero si hay algo que nos ha enseñado la experiencia es que
tenemos más éxito para cumplirlas cuando nuestros objetivos tienen beneficios
tangibles y es más real alcanzarlos: esto permite conocer qué resultados
positivos vamos a obtener. Y cumplirlos no nos agobiará al punto en el que nos
demos por vencidos.
Deberíamos
adoptar la misma actitud cuando “nos hacemos el propósito” de enfrentar la alta
presencia de amenazas internas, pues casi tres cuartas partes de las
organizaciones son vulnerables ante dichas amenazas, de acuerdo con una
investigación realizada por Palerra. Pero únicamente el 42% cuenta con los
controles adecuados para prevenirlas.
He
descubierto que normalmente las organizaciones no logran establecer estos
controles debido a que se sienten abrumados por la complejidad del problema,
algo que se le conoce como el síndrome de “¿Por dónde comenzamos?”. Así que le
recomiendo afrontarlo como lo haría con un propósito de Año Nuevo, siguiendo
tres pasos sencillos y que tienen gran impacto:
· Siente las bases de su
programa para la gestión de riesgos. Con frecuencia me invitan a asistir a
reuniones con los clientes para hablar sobre las amenazas internas, y las salas
de conferencias siempre están llenas con ingenieros de TI. Están deseosos de
seguir adelante con una estrategia que gira completamente alrededor de la
tecnología, dejando a los componentes del negocio y de “la gente” fuera de la
ecuación.
Lo
que se necesita, le digo, es la participación de los líderes en la gestión de
riesgos, para nosotros poder alinear todo lo que estamos haciendo con el
negocio en cuestión. A través del análisis óptimo de la gestión de riesgos,
determinamos lo que es importante respecto a nuestra organización, y de qué
manera las amenazas pueden evitar que cumplamos con los objetivos estratégicos.
Como
parte de esto, se puede realizar un inventario para identificar las “joyas de
la corona” que están dentro de los datos,
¿cuáles son y dónde se encuentran?, y desarrollar un plan de gestión de
riesgos para proteger a cada una. El plan debe cubrir no solamente a las
soluciones técnicas, sino también al elemento humano. (Daré más detalles más
adelante, en nuestro tercer y último “propósito”).
· Ponga a alguien a cargo.
Cada barco necesita un capitán, ¿cierto? Su iniciativa no irá a ninguna parte
si usted no logra designar a una persona que no tenga las habilidades
necesarias para encabezarla. Una vez más, el director no progresa con remedios
estrictamente “técnicos”. Tal vez no tenga gran experiencia con las soluciones
de seguridad electrónica, pero debe ser capaz de combinar una visión de gestión
de riesgos con una técnica para generar valor y una respuesta perdurable a las
amenazas internas, que sea consistente cuando se aplica a una sección
representativa de los departamentos en toda la empresa.
· Capacite, capacite,
capacite… Como lo prometí, aquí es donde la parte de “la gente” entra a escena.
Usted ha incorporado una visión de gestión de riesgos; ahora tiene que llevar
su programa y su mensaje a quienes representan a ese factor decisivo en
términos del éxito del futuro: sus empleados. Ya que nuestro propósito final es
esencial, vamos a desglosarlo en cuatro componentes de capacitación críticos:
a. Definición de la amenaza interna. Las
amenazas internas tienen muchos matices. Son los empleados maliciosos que roban
datos intencionalmente, sabotean los sistemas, etc., porque no fueron tomados
en cuenta para recibir un ascenso, un aumento o simplemente porque odian a sus
jefes o sus trabajos.
Además,
son infiltrados “accidentales” que no le tienen mala voluntad a sus
organizaciones, pero que siguen siendo un peligro debido a que tienen
comportamientos de riesgo. También están los terceros, contratistas y socios
cuyo nivel de riesgo se convierte en nuestro nivel de riesgo debido a nuestras
asociaciones e interdependencias de los sistemas, las aplicaciones, las
herramientas de comunicación, etc. Debe lograr que sus empleados entiendan
todas las formas de amenazas internas.
b. Ilustrar cómo es la actividad de las
amenazas internas. Aquí es donde usted educa al personal sobre qué buscar y qué
hacer. Para abordar los escenarios de amenazas internas accidentales, usted
debe elevar el conocimiento sobre los peligros de compartir contraseñas, y la
necesidad de cambiarlas con frecuencia al tiempo de evitar usar contraseñas
sencillas y predecibles.
Los
empleados también deben estar al día con las técnicas de phishing más
recientes:¿cómo llegó ese enlace y cómo sé si puedo confiar en la fuente? En
cuanto a los empleados internos con intensiones maliciosas, el personal deber
saber cómo reconocerlos… ¿Un colega siempre se queja del trabajo, de la
compañía, etc., y está transfiriendo archivos constantemente a una unidad de
almacenamiento USB? ¿Los archivos no están relacionados con su trabajo? ¿Inicia
sesión desde lugares desconocidos y a deshoras? Debe explorar estas y otras
señales clásicas de problemas.
c. Explicar por qué esto es importante. No
pase por alto la pregunta “¿a quién le importa?”, porque sus empleados la van a
hacer, ya sea abiertamente o entre ellos
mismos. Infórmeles sobre el potencial que tienen las amenazas internas de
interrumpir la productividad, detener los sistemas, provocar pérdidas, dañar a
la reputación y afectar la estrategia, lo cual podría tener consecuencias
devastadoras que afectan prácticamente a todos, pues el costo de los incidentes
provocados por las amenazas internas es de $4.3 millones de dólares en
promedio, según la investigación del Ponemon Institute.
d. Anunciar lo que está haciendo la
organización. Mediante presentaciones, materiales impresos y recursos en línea,
explique a su gente las acciones inmediatas y de largo plazo. Esto incluye los
controles técnicos y de auditoría. Pero también debe proveer información de
utilidad a través de un sitio web central en el cual el personal pueda
consultar las tendencias más recientes en amenazas internas e incluso compartir
las mejores prácticas.
Con
un plan “amplio” de la gestión de riesgos, una persona a cargo y la
capacitación/educación continua, usted cultiva una cultura de prevención de
amenazas internas. Y la cultura está en el tablero de anuncios de la oficina y
en la señalización. Ésta deberá colocarse en el comedor en donde los empleados
se reúnen para compartir lo que están observando; en sus buzones de correo
electrónico, cuando el encargado de vigilar a las amenazas internas envía las
noticias más recientes sobre el tema así como las recomendaciones.
A
medida que se consolida la cultura de la prevención, usted reduce el potencial
rechazo hacia las tecnologías que pronto introducirá para monitorear la
actividad de las amenazas internas y prevenirlas/mitigarlas. Sin dicha cultura,
las tecnologías podrían resultar intimidantes para los empleados. Pero una vez
que entienden lo que está en juego, no sólo aceptarán los cambios y el programa
en general, también se convertirán en sus mejores aliados, pues son
“propósitos” que vale la pena cumplir.
+++
No hay comentarios:
Publicar un comentario