Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
Amenazas internas no tan remotas
Las amenazas internas, un riesgo de seguridad que proviene del interior de la propia organización, siguen siendo un riesgo para las organizaciones incluso en medio de una pandemia mundial. Con muchos empleados trabajando a distancia y haciendo frente a los retos que plantea la COVID-19, es más fácil que nunca que los empleados sean reclutados, incluso involuntariamente, por agentes de amenazas. Esto se debe a que los adversarios tienen ahora acceso a herramientas tecnológicas gratuitas o comercialmente disponibles. Estas herramientas, que incluyen formas de redes sociales, plataformas de comunicación cifradas y dispositivos tecnológicos específicos, facilitan la identificación, la investigación, la captación y el contacto con personas con información privilegiada.
Las redes sociales han cambiado el juego
En la actualidad, aproximadamente el 70% de los estadounidenses utilizan las redes sociales para relacionarse entre sí, interactuar con contenidos informativos y compartir información. En consecuencia, las redes sociales se han convertido en un medio ideal para identificar a personas con información privilegiada y prepararlas para una primera aproximación. Dado que el COVID-19 dificulta cada vez más las reuniones en persona en un futuro previsible, muchos recurren a los medios sociales para mantener las interacciones sociales que necesitan para sentirse conectados. Al mismo tiempo, las redes sociales se han convertido en un caldo de cultivo para la captación de información privilegiada, ya que ofrecen una vía para propagar la desinformación y dirigirse a personas susceptibles de ser receptivas a ella. Más aún, proporcionan un medio para entablar relaciones con personas de dentro de la organización y socializar con ellas. Al utilizar las redes sociales para ganarse la confianza de los informadores, es más probable que los empleados hagan caso omiso de las políticas y los compromisos de la empresa.
¿Cómo funciona esto? Puede hacerse a través de los contenidos compartidos por un empleado díscolo, y luego alimentar estratégicamente al infiltrado potencial en función de sus opiniones políticas, ideologías, visión de la autoridad o del establishment, etc. Una estrategia, utilizada desde hace tiempo por los adversarios, consiste en proporcionar información falsa o engañosa sobre su propia organización. Por ejemplo, un empleado puede pensar que simplemente está ayudando a una empresa a introducirse en un sector dominado por las grandes firmas tecnológicas o ayudando a un periodista o a un estudiante de posgrado a entender un problema técnico complejo. En cambio, puede estar ayudando sin saberlo a un gran competidor o a un gobierno extranjero.
Presiones financieras y amenazas internas
Mientras que algunas personas con información privilegiada pueden estar motivadas por el patriotismo, especialmente si trabajan para un gobierno extranjero, muchas más personas con información privilegiada están influidas por el beneficio económico. Incluso para las personas que tienen un empleo remunerado, las presiones financieras de las circunstancias actuales provocadas por la pandemia son enormes. Las personas pueden estar manteniendo a miembros de su familia que no tienen trabajo, o a cónyuges que se ven obligados a abandonar la población activa debido a las necesidades de cuidado de los hijos. La necesidad de cuidar de los padres y parientes ancianos es otra área de tensión financiera para los individuos. Las personas con un problema financiero que no se puede compartir suelen representar un riesgo mayor para las organizaciones, no sólo por las personas ajenas que buscan información, sino también por los robos (de dinero, activos, tiempo) y las actividades fraudulentas.
El infiltrado ideal
Gracias a COVID-19, un elemento que convierte la gestión de las amenazas internas en un mayor reto para las empresas es la escasa supervisión de los empleados, junto con el aprovechamiento de los dispositivos personales y la infraestructura de trabajo a distancia. El blanco ideal de una amenaza interna es alguien que es activo en las redes sociales, tiene suficiente acceso a información sensible, carece de supervisión en su trabajo diario y trabaja a distancia. A través del proceso de grooming, los insiders pueden aprender a racionalizar sus acciones a través de un adversario capaz. El entorno COVID-19 también hace que la probabilidad de identificar a los iniciados sea mucho más difícil para las organizaciones. Debido a la naturaleza de la pandemia, las personas no tienen interacciones cara a cara (en persona) y a menudo se les da más flexibilidad de la que tendrían si tuvieran que trabajar dentro de un edificio de oficinas. Además, la organización puede estar más centrada en la pandemia y su viabilidad financiera que en la protección de los activos de información. Esto crea una oportunidad privilegiada para las amenazas internas.
Abrir la comunicación y apoyar a los empleados
Aunque las amenazas internas siempre han existido, hemos comprobado que el terreno es más fértil que nunca. Por lo tanto, como organización, es importante llegar a los empleados con regularidad y asegurarles que no están solos a la hora de hacer frente a los impactos de COVID-19, tanto personal como profesionalmente. Hable con frecuencia con los empleados para conocer su nivel de estrés y ofrecerles recursos del Programa de Asistencia al Empleado (EAP), si es necesario. Permitir que los empleados hablen abiertamente sobre sus preocupaciones y su nivel de estrés es crucial para ayudarles a sobrellevar la pandemia. Las organizaciones deben mantener su cultura de equipo incluso en tiempos difíciles.
La pandemia ha creado un grave entorno de riesgo para la seguridad de las empresas, en el que empleados que normalmente no participarían en amenazas internas se vuelven más vulnerables a ellas. A través de las nuevas tecnologías y las nuevas dificultades financieras, quienes buscan hacer daño a una organización están ahí fuera, buscando oportunidades para atacar. Depende de todas y cada una de las empresas mantenerse alerta y apoyar a sus empleados para asegurarse de que no se convierten en el próximo objetivo de una amenaza interna.
¿Qué pueden hacer las organizaciones?
Ahora que hemos presentado los desafíos, ¿cómo pueden las organizaciones proteger sus operaciones en este entorno complejo? He aquí algunas sugerencias.
- Llevar a cabo una evaluación de riesgos para determinar el nivel de riesgo al que se enfrenta la organización ante este tipo de amenaza interna. Esto implica identificar los activos críticos (tanto tangibles como intangibles), determinar los posibles competidores o actores de amenazas interesados en esos activos, identificar a las personas con acceso a esos activos críticos y establecer el apetito de riesgo de la organización.
- Desarrolle una iniciativa de comunicación para concienciar a los empleados sobre las amenazas internas y transmita el enfoque de la organización para combatirlas en beneficio de la organización y de todos los empleados. Asegúrese de incluir información sobre una línea de denuncia confidencial que proporcione a los empleados un medio para comunicar sus preocupaciones por correo electrónico, teléfono o portal en línea.
- Desarrollar o subcontratar formación virtual para educar al personal sobre los indicadores de amenazas internas y proporcionar instrucciones sobre cómo informar de las preocupaciones. Exija a los empleados que completen la formación e imparta cursos de repaso y actualizaciones a lo largo del año. La formación en esta materia no es cosa de una sola vez. Debe reiterarse continuamente.
- Establecer un proceso de registro en toda la organización para los directivos y sus subordinados directos que permita a los empleados compartir sus preocupaciones y a los directivos identificar retos u oportunidades para ayudar a los empleados a trabajar mejor en el entorno virtual.
- Llevar a cabo investigaciones de antecedentes en el momento de la contratación y realizar comprobaciones continuas de los antecedentes de los empleados con acceso crítico a información o activos. Consulte los requisitos federales, estatales y locales sobre este elemento. Una de las mejores formas de mitigar las amenazas internas es realizar investigaciones de antecedentes antes de contratar a los empleados. Además, las comprobaciones continuas de antecedentes desempeñan un papel fundamental en la identificación temprana de indicadores de amenazas internas.
- Poner el PAE a disposición de los empleados y animarles a utilizarlo. Aunque muchas organizaciones tienen un EAP, muchas no lo promueven eficazmente entre el personal. Hoy en día, cada vez hay más gente dispuesta a pedir ayuda para problemas de salud mental y de la vida en general. Es una buena noticia, pero la gente tiene que saber cómo acceder a su EAP y tener la seguridad de que ponerse en contacto con él no tendrá un impacto negativo en su carrera o en su potencial de crecimiento. Ofrecer a los empleados la posibilidad de compartir sus preocupaciones y hablar con personal cualificado puede ayudar mucho a las organizaciones a hacer frente a las amenazas internas y a los retos generales del trabajo a distancia.
Es importante que reconozcamos que se trata de un momento muy estresante para muchos empleados. Cuanto más puedan hacer las organizaciones para ser transparentes, llegar a los empleados (en particular a los que tienen dificultades), investigar a los empleados mediante la contratación inicial y las investigaciones de antecedentes continuas, y ofrecer apoyo y recursos, mayor será la mitigación de los problemas de amenazas internas.
Angela Osborne CPP, PSP, PCI
Vicepresidente Asociado, Soluciones de Gestión de Riesgos y Emergencias
Angela J. Osborne, PCI, PSP, CPP se especializa en planificación de gestión de emergencias, evaluaciones de riesgos de seguridad y evaluaciones de seguridad física. Ha trabajado con clientes en diversos sectores, incluyendo educación, gobierno, atención médica, legal, energía, manufactura y bienes raíces comerciales.
InvestigaciónLíneas directas