El factor humano es el mayor riesgo para cualquier organización, ya sea como adversario externo o amenaza interna, dice Michael Veit de Sophos.
Generalmente son los empleados los que hacen clic en los correos electrónicos de phishing, reenvían sin querer correos electrónicos externos a todos y olvidan en el tren soportes de datos, teléfonos móviles de empresa o portátiles. Las aplicaciones también suelen estar configuradas incorrectamente o no se mantienen adecuadamente. Esto aumenta la vulnerabilidad y la posibilidad de que algo salga mal.
Todas estas son violaciones deliberadas o inadvertidas de las reglas comerciales internas. En el peor de los casos, esto podría dar lugar a un incumplimiento de los requisitos reglamentarios, lo que podría llevar a que la empresa tuviera que revelar obligatoriamente una violación de datos y todas las medidas asociadas.
Cultura de error positiva y educación de la fuerza laboral
Es importante que las organizaciones logren un equilibrio entre educar a los empleados y desarrollar una actitud y una cultura positivas hacia la resiliencia ante las amenazas cibernéticas. Esto incluye implementar procesos claramente definidos para mantener esta cultura y seleccionar las tecnologías que mejor se adapten a los empleados y procesos para mitigar las amenazas y minimizar los riesgos.
El primer paso debe ser una separación clara entre la vida privada y laboral de la fuerza laboral. Esto significa que los dispositivos de la empresa asignados a los empleados son solo eso: dispositivos de la empresa. Para actividades personales se deben utilizar dispositivos privados.
Para la aceptación y cooperación de los empleados, es fundamental informarles sobre su acceso privilegiado a herramientas y plataformas que les ayudan a realizar sus tareas. La comunicación abierta sobre las expectativas con respecto al manejo de la información interna ha demostrado ser una mejor práctica. Crear conciencia sobre los datos confidenciales debería convertirse en una parte natural de la cultura.
Todos deben apoyar una cultura de error saludable
Pero, ¿cómo pueden las empresas crear un entorno en el que los empleados se sientan animados a denunciar actividades sospechosas? Crear conciencia y construir una cultura corporativa positiva es un factor clave para promover la ciberresiliencia.
La actitud aquí es (inquebrantablemente) que cada incidente es una oportunidad de aprendizaje. Aquí no hay nada malo ni ridículo; sólo así todos y cada uno de los individuos podrán aprender qué se puede hacer mejor. También es una forma de fomentar la colaboración entre departamentos e iniciar acciones correctivas.
Y lo mismo se aplica aquí: cada organización es tan fuerte como su eslabón más débil. Si los líderes de TI han iniciado un proceso para construir una cultura sólida y saludable para minimizar las amenazas internas, pero no cuentan con el apoyo de la alta dirección, la junta directiva o incluso de un solo departamento, esto conduce a prácticas comerciales inconsistentes y fomenta una situación en la que existe un riesgo. se manifiesta en un evento de seguridad.
El daño causado a las empresas por las amenazas internas es inmenso
Las fugas y pérdidas de datos a menudo se deben a amenazas internas, donde la información sensible para la organización se envía sin control. Aunque esta información normalmente se clasificaría como confidencial en el contexto empresarial, ahora se vuelve “pública” en el sentido de que personas no validadas pueden leer esta información.
La destrucción de datos también es una acción muy típica en la que se despoja a la organización de la integridad y disponibilidad de la información, de modo que ya no tiene acceso a información importante, lo que puede tener un impacto directo en la capacidad de operación de la organización. La destrucción de datos a menudo se asocia con operadores de ransomware, pero en ocasiones se debe a personas internas. La moraleja de la historia es que un infiltrado malintencionado no sólo puede robar información confidencial para beneficio personal, sino que también puede destruirla o arrebatársela por completo a la organización para exigir un rescate por la devolución de los datos.
¿Qué pueden hacer las empresas contra las amenazas internas?
Las amenazas internas son difíciles de predecir y controlar. Por lo tanto, prepararse para el impacto que podría causar una información privilegiada es uno de los procesos más importantes a gestionar. Capacitar a los empleados en el uso adecuado de los sistemas comerciales y la comprensión de los procesos comerciales puede ser de gran ayuda para prevenir errores relacionados con la fuga y la salida accidental de datos. Implementar controles técnicos que gobiernen el acceso a datos y sistemas donde reside información confidencial es tan importante como monitorear los resultados de estos controles y responder a violaciones de políticas que podrían ser indicativas de actividad maliciosa. Asegúrese de que los empleados estén satisfechos con su trabajo y bríndeles el apoyo que necesitan por parte de la dirección para aprovechar al máximo sus habilidades.
Las amenazas externas e internas deben tratarse por igual como un riesgo potencial para una organización. Las amenazas internas deben incluirse en las reuniones de planificación de respuesta a incidentes. No todos los insiders se convertirán en una amenaza, aunque al menos tienen el potencial para hacerlo. ED. SILICON
Contacto