Es fácil imaginar que la amenaza más grande para una empresa es externa. Sin embargo, cada vez más compañías están comprendiendo que los empleados en los que confían y han entrenado pueden suponer una enorme amenaza.
De hecho, un reciente reporte de Haystax Technology descubrió que el 74% de las organizaciones se siente "vulnerable a amenazas internas", y que el 56% de los profesionales de seguridad está seguro de que estas "se han vuelto más frecuentes" en el último año.
Si bien algunos ataques son causados por empleados rencorosos que buscan vengarse de alguna situación que consideran injusta o indeseable (como el jefe de TI que fue preso por infectar servidores), muchos ocurren de manera accidental, por negligencia, por ignorar una advertencia o no seguir un proceso; simplemente por error humano.
Sobre esta última alternativa hemos identificado tres tipos de empleados que pueden causar una brecha y comprometer la seguridad de la información corporativa.
1. Los que actúan de manera inocente
el error humano llegó a incluir la venta de un mueble que tenía dentro información sensible
Los trabajadores inocentes pueden causar tanto daño como un atacante malicioso; esta fue la lección que aprendieron, por ejemplo, las autoridades locales de Norfolk, Suffolk y Cambridgeshire, en el Reino Unido, que registraron más de 160 brechas entre 2014 y 2015, mayormente debidas al error humano. Esto incluyó móviles perdidos, cartas enviadas a direcciones incorrectas e incluso la venta de un mueble que tenía dentro información sensible a un tercero.
Otro ejemplo fue la brecha que sufrió en 2016 la firma norteamericana Federal Deposit Insurance Corp. (FDIC). En ese entonces, un exempleado descargó información sensible a un dispositivo de almacenamiento personal "de manera inadvertida y sin intención maliciosa".
Con casos como estos, no es sorprendente que el 74% de los encuestados por Haystax estuvieran más preocupados por este tipo de brecha de origen interno e inadvertido.
2. Los descuidados o negligentes
Ya conoces esa advertencia de seguridad que aparece ocasionalmente en tu pantalla, pero ¿siempre tomas medidas de inmediato?
Una encuesta de Google en 2013 descubrió que 25 millones de advertencias de Chrome habían sido ignoradas el 70,2% de las veces, en parte debido a la falta de conocimiento técnico de los usuarios, lo que llevó a que la empresa simplificara el lenguaje que usa en estos mensajes.
Por otra parte, estuvo la brecha que sufrió en 2012 St. Joseph Health System, en la que los ajustes de seguridad estaban mal configurados, lo cual llevó a que registros médicos privados fueran visibles online. Dada la naturaleza sensible de estos datos para sus pacientes, no es de extrañar que la demanda judicial haya obligado a la compañía a pagar millones de dólares.
3. Los que tienen intenciones maliciosas
Desafortunadamente, así como el error humano, las intenciones maliciosas también tienen su papel en las brechas de origen interno. Esto queda claro en el caso de la oficina reguladora de comunicaciones del Reino Unido, OFCOM, que descubrió en 2016 que un exempleado había estado recolectando sigilosamente los datos de terceros que la organización almacenaba. Lo más impactante fue que esto había estado ocurriendo durante seis años.
Morrisons, el gigante de supermercados británico, también se vio afectado por un empleado descontento que publicó en Internet los datos personales de cerca de 100.000 miembros del staff. Si bien el incidente ocurrió en 2014, la compañía todavía se enfrenta a la posibilidad de que el personal afectado tome nuevas acciones legales.
¿Qué se puede hacer?
los empleadores deberán asegurarse de que su staff conoce el potencial impacto de sus acciones
El 93% de los participantes de una encuesta de 2016 consideraron al comportamiento humano como el riesgo más grande para la protección de información. Nuix, que condujo la encuesta, cree que las empresas deben comenzar a reprender a los empleados que malinterpreten las políticas y procedimientos de seguridad implementados.
Dado que el impacto de una filtración de datos causa daño al negocio, incluyendo pérdidas financieras y perjuicios a la reputación, es lógico que las compañías quieran encontrar formas de mitigar y limitar el uso indebido de la información y los recursos corporativos.
-
Aumentar la concientización del personal
Quizá el paso más lógico para los empleadores es asegurarse de que todo su staff conoce los riesgos y el potencial impacto de sus acciones, y cómo evitar la pérdida inadvertida de información. También es importante involucrar a todos en un entrenamiento apropiado, y no solo a quienes estén directamente relacionados con TI.
-
Mantener segura la información
Según Stephen Cobb, investigador de ESET, “hay un millón de motivos por los que cifrar la información”. A pesar de que no todos implementaron esta técnica, el cifrado podría jugar un papel muy importante en la prevención de la pérdida de información.
Encontrás más información en nuestra Guía corporativa de cifrado de la información (es de acceso gratuito).
-
Monitorear la información y los comportamientos
Prestar atención al uso de las computadoras y dispositivos móviles corporativos, así como al comportamiento de los individuos, debería permitirle a las empresas identificar posible actividad riesgosa. Los programas de Bring Your Own Device (BOYD) que ya están naturalizados deberían también ser controlados.
-
Mirar hacia el futuro
Como el riesgo que plantean los empleados, por más inocentes que sean, es potencialmente catastrófico para las empresas, no es de extrañar que los empleadores piensen en adoptar un enfoque más estricto respecto a las amenazas internas en años venideros.
Si quieres más información para mejorar la seguridad de tu lugar de trabajo, no te pierdas nuestra Guía del Empleado Seguro. ¡Es gratuita!