Reducción de los efectos de los intrusos malintencionados no tecnológicos
Este es un mundo impulsado por la informática. La tecnología mejora día a día. Hoy en día, todas las organizaciones utilizan ordenadores de algún tipo para funcionar. Los ordenadores e Internet son los mejores amigos del hombre. Sin embargo, si se utilizan de forma poco ética no pasará mucho tiempo antes de que se conviertan en enemigos muy malos. Cualquier organización puede enfrentarse a una amenaza para la seguridad de los datos. Esta amenaza puede provenir tanto del interior como del exterior. Se necesitan diferentes maneras de hacer frente a estos factores. Las amenazas internas son más peligrosas que las externas. A medida que vaya leyendo entenderá por qué es así.
¿Qué constituye una amenaza interna?
Como su nombre indica, la amenaza interna emana del interior de la organización. Cualquier persona que trabaje en la organización puede convertirse en una amenaza en cualquier momento. Depende de las circunstancias. Se supone que los internos son leales a las organizaciones en las que trabajan. Esto es cierto en la mayoría de los casos. Sin embargo, hay excepciones. Estas personas desarrollan intenciones maliciosas. Esto significa que estos infiltrados desarrollan algún tipo de mala intención contra la organización y trabajan para planear la caída de la misma. Esto es algo muy peligroso.
También existe la posibilidad de que haya intenciones no maliciosas. Los errores causados por intenciones no maliciosas también perjudican a la organización. Estos errores pueden producirse por la presión y el estrés. Por lo general, estos errores se producen los viernes o los lunes. El ser humano no es un animal perfecto. Puede cometer errores, pero si no hay una intención maliciosa detrás de los errores, siempre es perdonable. Con los infiltrados malintencionados es con los que hay que tener cuidado. Tienen el potencial de perjudicar a la organización de muchas maneras.
¿Quiénes son estos infiltrados maliciosos? ¿Cómo combatirlos?
Históricamente, los insiders maliciosos suelen estar entre los mejores empleados en un momento dado. Son los que tienen un conocimiento adecuado de los sistemas y saben cómo tratar las cuestiones problemáticas. De hecho, actúan como solucionadores de problemas en muchas ocasiones. Tienen acceso autorizado a los sistemas internos y tienen la capacidad de causar daños. Es muy difícil averiguar lo que funciona dentro de la mente de una persona. Ningún ordenador de este mundo puede detectar este secreto. Normalmente, una organización comprueba las credenciales de una persona antes de confiarle una determinada responsabilidad. Sin embargo, hay veces en que incluso la persona con el cociente de integridad más fuerte también se vuelve débil.
Esto puede dar lugar al compromiso de ciertas actividades que pueden ir en contra de los intereses de la organización. Esta es la razón por la que las organizaciones optan por el procedimiento de controles y equilibrios en cada etapa de cualquier proceso. Estos controles y equilibrios pueden filtrar a las personas con intenciones maliciosas. Investigación de esta actividad y sus resultados La actividad maliciosa de los internos es un tema bien investigado. Los resultados están a la vista de todos. Muchas organizaciones han llevado a cabo una amplia investigación sobre el tema. El Instituto Carnegie Mellon es una de esas organizaciones que ha realizado investigaciones pioneras en este campo. Los datos históricos son la base de estos hallazgos.
Sin embargo, la investigación ha establecido claramente las tendencias y las siguientes son las conclusiones. Hay un viejo adagio que dice lo siguiente. Un ladrón es un ladrón sólo si se le pilla. Muchos casos pasan desapercibidos. Los casos detectados constituyen la base de estos resultados. Estos son los resultados estadísticos.
Un tercio de los empleados intentará robar sólo si cree que puede salirse con la suya.
Un tercio robará incluso en caso contrario.
El tercio restante nunca tendrá la tentación de robar.
Del análisis anterior se desprende que en cualquier organización se pueden encontrar dos tercios del total de empleados que pueden ser clasificados como de integridad turbia. Un hecho más que se ha dado a conocer es que del total de actos maliciosos detectados, los empleados internos representan alrededor de dos tercios de los casos.
Métodos de lucha adoptados por las organizaciones: Cada organización tiene sus propios métodos para comprobar este tipo de comportamiento. Las investigaciones en esta fase inicial detectan por sí mismas normalmente más de tres cuartas partes de la actividad maliciosa. En estos casos, la detección de la actividad maliciosa tiene lugar antes de que se produzca cualquier daño a la organización. Muchas veces, estas medidas son inadecuadas. Es en estas circunstancias cuando la pérdida se hace tangible.
¿Cómo se detecta una intención maliciosa en un insider?
Esto es muy difícil de detectar. Las personas con intenciones maliciosas se comportan de la manera más normal posible. Sin embargo, hay ciertos mecanismos exhibidos por tales personas que requieren un seguimiento a intervalos frecuentes. Normalmente se comportan de la misma manera que las personas con intenciones no maliciosas. Por lo tanto, el tratamiento de la cuestión debe hacerse caso por caso. Esto puede hacer que se persiga a una persona inocente sin motivo alguno. Esa persona puede albergar más tarde intenciones maliciosas contra la organización.
Una de las señales que permiten detectar una intención maliciosa es el derroche de ciertos empleados. Si descubre que un empleado gasta mucho más de lo que suele gastar, es un motivo de alarma. Significa que hay que estar en guardia. Algunos empleados desarrollan una intención maliciosa cuando tienen ganas de abandonar las organizaciones. Las actividades de estos empleados deben ser objeto de una estricta vigilancia. Estas personas reducen sus canales de comunicación con los demás en lo que respecta al trabajo. Tales rasgos requieren una cuidadosa vigilancia. Es un hecho que las personas con intenciones maliciosas no se toman vacaciones. Por lo tanto, las organizaciones deben tomar medidas drásticas contra estas actividades y obligar a los empleados a irse de vacaciones al menos durante quince días al año. Así se puede controlar a las personas que no han hecho uso de las vacaciones durante mucho tiempo.
¿Qué medidas debe tomar la dirección contra los informantes malintencionados? Supongamos ahora el siguiente escenario. Supongamos que usted es el director general de una entidad corporativa, digamos X. La empresa tiene cientos de empleados en nómina. Entre ellos hay personas de alto rango. El personal de trabajo también incluye a funcionarios de nivel inferior y vendedores y otro personal subordinado. En los cuatro trimestres del año se han producido los siguientes casos de falta. Trimestre 1: Una investigación muestra ocho casos de uso indebido de contraseñas. Las investigaciones mostraron el acceso a datos internos desde sistemas externos. Al ser interrogados, los miembros del personal afectados fingieron ignorancia.
La adivinación y el robo de contraseñas fueron las razones aducidas para estos sucesos. Mantener el secreto de la contraseña en cualquier circunstancia era la idea central de su formación. La empresa no tomó ninguna medida contra los empleados infractores. Pregunta: ¿Habría hecho usted lo mismo? Trimestre 2: El equipo de investigación detectó cuatro casos de datos internos almacenados en dispositivos de almacenamiento externos, como un servidor público en la nube. Los miembros aclararon que lo habían hecho para tener acceso desde casa. El trabajo tenía que estar terminado a tiempo. El departamento de informática aclaró categóricamente que eso iba en contra de las normas. La empresa reprendió a los miembros del personal con una advertencia de que el nivel de tolerancia de tales casos sería "Cero" en el futuro.
Tenían la opción de solicitar al departamento de informática que les concediera el acceso y el consejo de administración de la empresa habría tomado una decisión. Pregunta: ¿Cuál es su reacción ante esto? Trimestre 3: Las investigaciones revelaron que algunos miembros del personal estaban involucrados en asuntos personales. Estos incidentes salieron a la luz en el curso de otra investigación no relacionada. La dirección decidió que estos asuntos quedaban fuera del ámbito de los equipos de investigación. Sin embargo, estos asuntos estaban en conocimiento del Departamento de RRHH. Sin profundizar en el asunto, el Departamento de RRHH dejó claro que la empresa no tolerará estos casos. Pregunta: ¿Cuál es su reacción ante este caso? Cuarto trimestre: Se trata de un caso que afecta a un ejecutivo de alto nivel. Había dejado la organización durante el tercer trimestre tras su aventura con una ejecutiva de ventas. Ella también ha dejado la organización. Ambos han creado una nueva empresa. Esta empresa es un competidor directo de la suya. Usted descubre que más del 20% de su negocio existente se ha trasladado a la nueva empresa en este corto espacio de tiempo.
Otro 20% está en vías de desaparecer. Se trata de un caso claro de actividad interna maliciosa. Pregunta: ¿Cuál sería su plan de acción en un escenario así? Los cuatro casos mencionados anteriormente dan pie a que se produzca un robo de datos. Si se investiga más a fondo, también pueden surgir otros puntos. Surgen ciertos puntos en común. Si este es el caso, estas actividades requieren una investigación más profunda. En caso contrario, he aquí cómo se debe tratar el asunto. Cuarto 1: Mantener el secreto de la contraseña es un aspecto muy importante en el escenario actual. No debe haber ningún compromiso en este aspecto. Debes aconsejar a los miembros que sean más cuidadosos en el futuro. Puedes evitar que se cometan más faltas vigilando a estos empleados. Trimestre 2: Es posible que los miembros del personal hayan tenido la buena intención de terminar el trabajo en casa. Esto demuestra su dedicación al trabajo. Sin embargo, una empresa ha establecido normas y reglamentos. Hay que seguir estas normas a toda costa.
Debe aconsejar a los miembros del personal que se abstengan de repetir tales actos y animarles a completar el trabajo dentro del horario previsto. Trimestre 3: Hay que desaconsejar los asuntos personales durante el tiempo de trabajo. Son libres de tener sus asuntos fuera del área de trabajo. Mientras los asuntos no tengan lugar en la oficina y el trabajo de ésta no se vea afectado, se debe respetar su privacidad. Sin embargo, las normas de la empresa establecen que, una vez que se casen, el destino de estas parejas debe ser una oficina separada. Cuarto trimestre: Se trata de un caso claro de actividad interna malintencionada y debe tratarse con firmeza. La empresa puede contemplar la posibilidad de emprender acciones legales contra las personas implicadas. Hay ciertos casos en los que se puede juzgar la intención maliciosa desde el principio mismo. Citemos un par de ejemplos.
Aprenda a buscar las primeras señales. Una empresa que discute las penalizaciones por retraso en el pago en un contrato es probable que incumpla los pagos con regularidad. Aprenda a buscar las señales sutiles: Si descubre que ciertos miembros tratan de evitar las llamadas telefónicas y los mensajes de correo electrónico, es una clara señal de que no desean formar parte de su proyecto. Cuanto antes los elimine, mejor será para la organización.
Resumen
No es necesario que todas las intenciones sean de naturaleza maliciosa. Sólo deben calificarse de maliciosas aquellas intenciones que puedan causar un daño intencionado a la organización. También hay que saber que las pérdidas o los daños a la organización pueden deberse a intenciones circunstanciales o maliciosas. Nuestro objetivo debe ser frenar únicamente las intenciones maliciosas. Hay que cortar la intención maliciosa de raíz. La intención maliciosa es la causa principal de todos estos fraudes que se producen en el lugar de trabajo hoy en día.