Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
Combatir las amenazas internas desde dentro
En el entorno empresarial actual, la gestión del riesgo requiere una buena comprensión de las amenazas que existen fuera de nuestras organizaciones, pero también de las que existen dentro. Tan a menudo nos centramos en mantener a los malos fuera, que a veces nos olvidamos de los riesgos dentro de nuestras propias organizaciones. Comprender el riesgo de amenaza interna de su organización y disponer de algunas herramientas de sentido común para mitigarlo son los primeros pasos para desarrollar una estrategia de éxito.
Según la Encuesta Mundial de Seguridad de Forrester de 2015, el 56 % de las violaciones de datos se produjeron a manos de iniciados en la empresa. De estas violaciones, el 26% fueron maliciosas e intencionadas. Además, los Insiders de hoy en día son responsables de aproximadamente el 80% de las pérdidas de propiedad intelectual en nuestras empresas. Las violaciones de datos y la pérdida de propiedad intelectual suponen miles de millones en costosos gastos para las empresas, por no mencionar el importante daño a la reputación que se produce cuando estas pérdidas se hacen públicas.
Aún más desafortunado es cuando los Insiders son responsables de algunos de los acontecimientos más horribles en nuestros lugares de trabajo por medio de la violencia. Recientemente, una disputa en el lugar de trabajo entre dos abogados terminó tristemente durante la fiesta de Navidad del bufete de abogados del sur de California, cobrándose la vida de ambos abogados. Un suceso violento en el lugar de trabajo a manos de una persona en la que se confiaba (el autor del tiroteo era un socio del bufete de abogados) puede cambiar radicalmente y para siempre su organización.
¿Por dónde empiezan las empresas cuando hay tantas cosas que considerar? En primer lugar, y como de costumbre, por arriba.
La comprensión por parte de la dirección de lo que realmente importa a su empresa es primordial. Las organizaciones salen ganando si empiezan pronto a establecer una cultura de seguridad creíble y sostenible. Sin embargo, ninguna organización puede proteger todo de la misma manera y puede quebrar su organización intentándolo. Identifique sus activos, información y sistemas más críticos y establezca controles en torno a ellos para proporcionar seguridad adicional. Según los informes, en el caso del bufete de abogados del sur de California, el tirador había sido despedido recientemente del bufete. Entró libremente en su antiguo edificio de oficinas y abrió fuego.
En segundo lugar, actúe con la diligencia debida ANTES de contratar empleados y otras personas que vayan a tener acceso a su información crítica.
Todas las empresas tienen algún proceso de investigación de antecedentes en torno a nuevas contrataciones y socios importantes, pero cada estado tiene diferentes limitaciones legales. Conozca el potencial y el alcance de la investigación de antecedentes que puede emplear en torno a las contrataciones críticas con acceso a la información más importante de sus datos. No dependa únicamente de informes automatizados y comprobaciones rápidas. Utilice recursos internos y de terceros para investigar más a fondo a las personas que desempeñan las funciones de mayor impacto y tienen el acceso más importante.
En tercer lugar, asegúrese de que las expectativas de los empleados son claras y están bien documentadas, como parte de un proceso suficiente de incorporación y desvinculación.
Hoy en día es habitual que los empresarios pidan a los nuevos empleados que firmen acuerdos de confidencialidad para proteger la información de la empresa. Los empleados deben saber de antemano cuáles son sus obligaciones en relación con la información crítica e incluso con su comportamiento personal. Un Código de Conducta exhaustivo, que se explique y al que se dé formación, puede evitar futuras investigaciones innecesarias basadas en comportamientos personales incompatibles con las políticas de la empresa. Cuando los empleados dejan la empresa, una entrevista de salida sólida y un recordatorio de sus obligaciones también deben formar parte de cualquier transición laboral.
En cuarto lugar, utilice el acceso basado en funciones para proteger información específica.
No todos sus empleados necesitan, ni deben tener, acceso a toda la información. La información que no se limite a la que contenga datos de identificación personal e información sobre clientes, entre otros, debe estar vallada para la mayoría de sus empleados. La información sensible y reservada, como planes de lanzamiento, investigación y desarrollo y deliberaciones internas específicas, también debería requerir un acceso especial. Asegúrese de disponer de un mecanismo para actualizar el acceso cuando los empleados cambien o abandonen sus puestos.
Quinto, abordar la Amenaza Interna desde una perspectiva holística.
La amenaza de información privilegiada es una amenaza organizativa y no puede abordarse suficientemente dentro de un componente aislado de la empresa. Diferentes partes de su organización deben participar para comprender y abordar las amenazas internas. Un equipo eficaz puede estar formado por los departamentos jurídico, de recursos humanos, de seguridad física y cibernética, así como por los programas de asistencia a los empleados, entre otros. Contar con un patrocinador ejecutivo y la rendición de cuentas a la alta dirección de la organización también contribuirá a la eficacia y credibilidad del programa dentro de la empresa.
Sexto, formar y evaluar.
Comprender los comportamientos o indicadores que pueden representar una amenaza de información privilegiada es fundamental para un programa eficaz. Formar a los empleados y a la dirección para que identifiquen los comportamientos preocupantes y los comuniquen adecuadamente no sólo reduce el riesgo organizativo de una amenaza de información privilegiada, sino que también puede crear una plantilla más proactiva y atenta. La capacidad de adelantarse eficazmente a comportamientos potencialmente preocupantes puede a menudo proporcionar a los empleados el apoyo adecuado y fomentar una relación más positiva con el empleado en el lugar de trabajo.
Por último, cuente con un proceso de denuncia e investigación imparcial y respetuoso, bien conocido en toda la organización.
Los empleados deben confiar en que, si denuncian comportamientos o acciones de un compañero, su información se tratará con discreción y, si se justifica, se actuará en consecuencia. El respeto y la protección de la privacidad de los empleados deben formar parte de cualquier proceso. Es fundamental para cualquier proceso de confianza y debe garantizar específicamente la protección de los posibles denunciantes.
Stephanie Douglas
Presidente, Práctica de Seguridad Nacional
Stephanie Douglas se centra en investigaciones delicadas de delitos internos y de cuello blanco, programas de seguridad corporativa, protección e investigaciones de propiedad intelectual (PI) y educación proactiva de los ejecutivos sobre las amenazas internas. Tiene una amplia experiencia en la gestión de investigaciones criminales y de seguridad nacional, operaciones de seguridad nacional y global y desarrollo de políticas y estrategias. La Sra. Douglas ha tenido una distinguida carrera tanto en el sector privado como en el público. Después de 23 años, se retiró como ejecutiva sénior de la Oficina Federal de Investigaciones, donde desempeñó diversos cargos influyentes. También se desempeñó como directora sénior de seguridad corporativa de Pacific Gas & Electric antes de unirse Guidepost Solutions.
InvestigaciónLíneas directas