El mundo ha cambiado drásticamente en poco tiempo, cambiando el mundo del trabajo junto con él. El nuevo mundo híbrido de trabajo remoto y en la oficina tiene ramificaciones para la tecnología, específicamente la ciberseguridad, y señala que es hora de reconocer cuán entrelazados están realmente los humanos y la tecnología.

Permitir una cultura de colaboración acelerada y basada en la nube es fundamental para las empresas en rápido crecimiento, posicionándolas para innovar, superar y ser más astutas que sus competidores. Sin embargo, lograr este nivel de velocidad digital conlleva un desafío de ciberseguridad de rápido crecimiento que a menudo se pasa por alto o se desprioriza: el riesgo interno , cuando un miembro del equipo accidentalmente, o no, comparte datos o archivos fuera de las partes confiables. Ignorar el vínculo intrínseco entre la productividad de los empleados y el riesgo interno puede afectar tanto la posición competitiva de una organización como su resultado final.

No puede tratar a los empleados de la misma manera que trata a los piratas informáticos de los estados nacionales

El riesgo interno incluye cualquier evento de exposición de datos impulsado por el usuario (seguridad, cumplimiento o naturaleza competitiva) que ponga en peligro el bienestar financiero, de reputación u operativo de una empresa y sus empleados, clientes y socios. Miles de eventos de exfiltración y exposición de datos impulsados por el usuario ocurren a diario, derivados de errores accidentales del usuario, negligencia de los empleados o usuarios malintencionados que intentan dañar a la organización. Muchos usuarios crean riesgos internos accidentalmente, simplemente tomando decisiones basadas en el tiempo y la recompensa, compartiendo y colaborando con el objetivo de aumentar su productividad. Otros usuarios crean riesgos debido a la negligencia y algunos tienen intenciones maliciosas, como un empleado que roba datos de la empresa para llevarlos a la competencia.

Desde una perspectiva de ciberseguridad, las organizaciones deben tratar el riesgo interno de manera diferente a las amenazas externas. Con amenazas como piratas informáticos, malware y actores de amenazas de estados nacionales, la intención es clara: es maliciosa. Pero la intención de los empleados que crean riesgo interno no siempre es clara, incluso si el impacto es el mismo. Los empleados pueden filtrar datos por accidente o por negligencia. Aceptar completamente esta verdad requiere un cambio de mentalidad para los equipos de seguridad que históricamente han operado con una mentalidad de búnker: bajo asedio desde el exterior, sosteniendo sus cartas cerca del chaleco para que el enemigo no obtenga información sobre sus defensas para usar contra ellos. Los empleados no son los adversarios de un equipo de seguridad o de una empresa; de hecho, deben ser vistos como aliados en la lucha contra el riesgo interno.

La transparencia alimenta la confianza: sentar las bases para la formación

Todas las empresas quieren evitar que sus joyas de la corona (código fuente, diseños de productos, listas de clientes) acaben en las manos equivocadas. Imagine el riesgo financiero, de reputación y operativo que podría provenir de la filtración de datos materiales antes de una oferta pública inicial, una adquisición o una llamada de ganancias. Los empleados desempeñan un papel fundamental en la prevención de fugas de datos, y hay dos elementos cruciales para convertir a los empleados en aliados de riesgo interno : transparencia y capacitación.

La transparencia puede estar reñida con la ciberseguridad. Para los equipos de ciberseguridad que operan con una mentalidad de adversario adecuada para las amenazas externas, puede ser un desafío abordar las amenazas internas de manera diferente. La transparencia se trata de generar confianza en ambas partes. Los empleados quieren sentir que su organización confía en ellos para usar los datos de manera inteligente. Los equipos de seguridad siempre deben comenzar desde un lugar de confianza, asumiendo que la mayoría de las acciones de los empleados tienen una intención positiva. Pero, como dice el refrán en ciberseguridad, es importante "confiar, pero verificar".

El seguimiento es una parte fundamental de la gestión del riesgo interno y las organizaciones deben ser transparentes al respecto. Las cámaras de circuito cerrado de televisión no están ocultas en espacios públicos. De hecho, suelen ir acompañadas de carteles que anuncian vigilancia en la zona. El liderazgo debe dejar en claro a los empleados que sus movimientos de datos están siendo monitoreados, pero que su privacidad aún se respeta. Existe una gran diferencia entre monitorear el movimiento de datos y leer todos los correos electrónicos de los empleados.

La transparencia genera confianza, y con esa base, una organización puede enfocarse en mitigar el riesgo cambiando el comportamiento del usuario a través de la capacitación. Por el momento, los programas de educación y concienciación sobre seguridad son un nicho. La capacitación en phishing es probablemente lo primero que se le viene a la mente debido al éxito que ha tenido al mover la aguja y hacer que los empleados piensen antes de hacer clic. Fuera del phishing, no hay mucha capacitación para que los usuarios comprendan qué, exactamente, deben y no deben hacer.

Para empezar, muchos empleados ni siquiera saben dónde se encuentran sus organizaciones. ¿Qué aplicaciones pueden utilizar? ¿Cuáles son las reglas de participación para esas aplicaciones si quieren usarlas para compartir archivos? ¿Qué datos pueden utilizar? ¿Tienen derecho a esos datos? ¿Le importa siquiera a la organización? Los equipos de ciberseguridad lidian con mucho ruido que hacen los empleados que hacen cosas que no deberían. ¿Y si pudiera reducir ese ruido con solo responder estas preguntas?

La capacitación de los empleados debe ser proactiva y receptiva . De manera proactiva, para cambiar el comportamiento de los empleados, las organizaciones deben proporcionar módulos de capacitación breves y largos para instruir y recordar a los usuarios cuáles son los mejores comportamientos. Además, las organizaciones deben responder con un enfoque de microaprendizaje utilizando videos pequeños diseñados para abordar situaciones muy específicas. El equipo de seguridad debe tomar una página del marketing, centrándose en los mensajes repetitivos entregados a las personas adecuadas en el momento adecuado.

Una vez que los líderes empresariales comprendan que el riesgo interno no es solo un problema de ciberseguridad, sino que está íntimamente entrelazado con la cultura de una organización y tiene un impacto significativo en el negocio, estarán en una mejor posición para innovar, superar y ser más astutos que sus clientes. competidores. En el mundo del trabajo híbrido remoto y en la oficina de hoy , el elemento humano que existe dentro de la tecnología nunca ha sido más significativo, por eso la transparencia y la capacitación son esenciales para evitar que los datos se filtren fuera de la organización.

Este contenido fue producido por Code42. No fue escrito por el personal editorial de MIT Technology Review.