¿Problemas con “insiders”? Aquí hay una recomendación para solucionarlos
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La transformación digital ha ayudado a muchas organizaciones a mantener su competitividad en un entorno global altamente demandante. Y si bien esto representa un beneficio para las organizaciones, también es cierto que los riesgos — relacionados con el tema de ciberseguridad — se han incrementado drásticamente.
El trabajo a distancia que facilita las operaciones comerciales ha generado nuevos riesgos de seguridad. Con anterioridad, las amenazas internas se enfocaban en empleados maliciosos o descontentos que buscaban robar información, a menudo para obtener ganancias financieras. Hoy en día, las amenazas internas también incluyen a empleados que no tienen la capacitación adecuada para desempeñar sus actividades cotidianas.
Y en este sentido, las organizaciones tienen el deber para con ellas mismas, sus clientes y su fuerza laboral de implementar tecnologías que ayuden a los empleados a no convertirse en una amenaza.
Cuando la mayoría de las personas escuchan el término “amenaza interna”, piensan en espionaje corporativo, abuso de información privilegiada o malversación de fondos. La frase tiene connotaciones de robo y sigilo que pueden hacer que los miembros de la fuerza laboral sientan que su empresa ya no confía en ellos.
Sin embargo, mientras que las amenazas internas casi se duplicaron entre 2020 y principios de 2022, el 65.8 % de los incidentes surgieron por descuido o negligencia, mientras que solo el 34.2% se relacionaron con un infiltrado criminal.
Cuando las empresas se enfocan en la seguridad y la privacidad, centran las actividades en generar confianza en el cliente. Ya sea en una organización de empresa a empresa (B2B), o de empresa a consumidor (B2C), los clientes toman decisiones de compra en función de las capacidades de protección de datos de una organización.
En el espacio B2B, las acciones de cumplimiento del cliente y los contratos validan la seguridad al requerir productos y servicios. Las empresas reconocen que para vender, deben implementar y mantener controles de seguridad y privacidad.
En el nivel B2C, las organizaciones no tienen tantos requisitos para proporcionar validación de seguridad y privacidad, pero los compradores sí lo tienen en cuenta al realizar compras. En este punto, es importante señalar que:
Alrededor del 54.8% de los clientes deja de hacer negocios con una empresa que no protege los datos de los clientes. El 67.9% de los consumidores realizan compras en línea o utilizan servicios digitales solo después de asegurarse de que la empresa tiene reputación de proteger los datos de sus clientes.
Para generar confianza en el cliente, las organizaciones implementan herramientas que mejoran sus niveles de seguridad. Desafortunadamente, en el proceso de protección de datos, estas herramientas han creado frustraciones en los usuarios finales o han reducido la productividad. Estos desafíos significan que los empleados buscan soluciones alternativas y, esta iniciativa, conduce a errores y amenazas internas.
Los empleados deben ver la seguridad como un habilitador en lugar de una carga. Con demasiada frecuencia, los profesionales de la seguridad y la privacidad se han visto obligados a elegir entre proteger los datos o garantizar que los empleados puedan hacer su trabajo. De la misma manera que las organizaciones fomentan la confianza del cliente, necesitan generar confianza interna.
Al proporcionar a los empleados soluciones que facilitan la seguridad y la privacidad, las organizaciones reducen la probabilidad de que las personas busquen soluciones alternativas que afecten los objetivos de protección de datos. Cuando las organizaciones piensan en los miembros de su fuerza laboral como consumidores, generan confianza interna, lo cual mitiga el riesgo.
Fuera de sus trabajos, los empleados también son consumidores, lo que significa que consideran la privacidad al tomar decisiones de compra.
Las organizaciones que implementan buenas prácticas de privacidad se protegen a sí mismas, pero también demuestran su compromiso con los datos de los empleados. Una buena práctica de privacidad nunca almacena las credenciales de inicio de sesión en sus propios servidores. A nivel organizacional, esto mitiga los riesgos derivados de un ataque a la cadena de suministro.
Una vulneración de datos de proveedores compromete la información de los empleados. Una buena práctica de privacidad protege a los empleados y a la organización y esto genera confianza interna.
Las personas rara vez quieren ser una fuente de vulneración de datos. Por ejemplo, cuando los empleados usan la funcionalidad ‘compartir con un enlace’, en un espacio de trabajo en la nube, solo quieren ayudar o hacer su trabajo.
Las tecnologías de seguridad y privacidad deberían adecuarse a la forma en que las personas ya piensan sobre sus propias actividades. Por ejemplo, los espacios de trabajo cifrados de extremo a extremo pueden brindar la seguridad y privacidad que las organizaciones desean, con la experiencia de usuario final que la gente espera.
Al implementar buenas prácticas de seguridad y privacidad, las organizaciones deben considerar cómo la tecnología y los procesos afectan los flujos de trabajo de los empleados. Cuando se enfrentan a herramientas complejas, los empleados buscarán soluciones más eficientes, provocando riesgos.
Las empresas deben crear un entorno de confianza digital. Deben implementar las herramientas que permitan a sus empleados hacer su trabajo de manera eficiente y segura. Al hacer esto, reducen el riesgo de amenazas internas al generar confianza.
Para más información, visite: https://www.silikn.com/