Es hora de que crezcan los programas de amenazas internas



Los programas inmaduros que intentan protegerse contra ataques dañinos por parte de personas de adentro corren el riesgo de alienar a los empleados.

La gran mayoría de las empresas se han embarcado en el establecimiento de un programa de amenazas internas, pero la mayoría lucha por crear procesos maduros para detectar y responder al riesgo creado por los empleados.

En su Informe de amenazas internas publicado el año pasado, por ejemplo, Crowd Investigate Companions descubrió que si bien el 86% de las organizaciones se habían embarcado en la creación de un programa, la mayoría seguía desarrollando políticas y programas, y solo un tercio de todas las compañías consideraban su amenaza interna programa para ser maduro.

Lo que está en juego puede ser alto para las empresas: un programa de amenazas internas mal implementado puede alienar a los empleados si sienten que su privacidad se ve comprometida por un monitoreo excesivo o si la administración es demasiado rápida para sospechar que los trabajadores tienen malas intenciones. En un trabajo de investigación publicado esta semana, Forrester Research descubrió que muchos de los programas actuales de amenazas internas pueden violar las nuevas leyes de privacidad y que los programas más draconianos pueden socavar el rendimiento de los empleados, dice Joseph Blankenship, vicepresidente de investigación de Forrester.

«Si la respuesta es incorrecta y ese empleado sale y busca un abogado, te abres a un mundo de dolor», dice. «Por lo tanto, encontrar la respuesta correcta y proteger la privacidad de los empleados es el aspecto más importante de un programa de amenazas internas».

Blankenship ve 2020 como el año en que muchas compañías obtendrán protección contra amenazas internas correctamente al enfocarse no solo en la reducción de riesgos, sino también en la privacidad, la transparencia y la experiencia de los empleados. Si bien la mayoría de las empresas de servicios financieros y cualquier compañía que maneja datos confidenciales ya pueden tener procesos maduros para detectar el abuso de información privilegiada, la mayoría de las otras compañías no están tan bien preparadas, dice.

«2020 será el año en que tomaremos la función de amenaza interna de ad-hoc a algo que sea repetible y mejorable», dice Blankenship. «Muchas otras compañías se están dando cuenta de que tienen que proporcionar cierto rigor en torno a esto».

Impulsado por un aumento en las consultas de los clientes, Forrester realizó la investigación que formó la foundation de el informe. Diferentes empresas necesitan diferentes enfoques para las amenazas internas, dice. Un contratista militar que se enfrenta a actores de los estados nacionales tiene un perfil de riesgo diferente y un programa diferente de amenazas internas que un minorista que tiene que proteger los datos de la tarjeta de pago.

Sin embargo, las empresas no deben permitir que la paranoia debilite sus negocios. Si bien, por su propia naturaleza, un programa de amenazas internas ve a los empleados como amenazas potenciales, las organizaciones deben trabajar con los empleados y ponerlos en primer lugar.

Ser transparente

La transparencia es clave, según el informe de Forrester. Las organizaciones necesitan definir claramente sus programas y los roles que los empleados tienen para ayudar a las compañías a asegurar sus valiosos activos. Según el Reglamento Basic de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), los empleados tienen el derecho a ser informados sobre cómo los empleadores están utilizando su información, el derecho a corregir información inexacta y el derecho a ser olvidado.

Al notificar a los empleados qué información recopila la empresa y cuál es el propósito de esa recopilación, la organización educa a los trabajadores y los hace parte del equipo. Según el informe de amenazas internas de Group Exploration Companions, alrededor del 82% de las empresas capacitan a los empleados sobre cómo minimizar el riesgo de ciberseguridad.

Además de la educación, las empresas deben asegurarse de que los programas de seguridad en basic, y un programa de amenazas internas específicamente, no socaven la productividad. Según el informe de Forrester, alrededor del 7% de los trabajadores de la información eluden las políticas que las compañías tienen implementadas para la seguridad, a menudo citando la necesidad de realizar sus tareas de manera más eficiente (39%) o las restricciones irrazonables de las políticas de seguridad (34%).

«La gente de seguridad podría considerar esto como un problema de recursos humanos, pero RR.HH. no es el lugar donde debería alojarse», dice.

La capacitación adecuada y el uso de equipos interfuncionales para establecer políticas pueden ayudar. La parte más importante es cómo la empresa responde a cualquier comportamiento potencialmente malicioso o perjudicial, dice Blankenship.

contenido relacionado

Revisa El borde, La nueva sección de Darkish Reading through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Resultados de la encuesta: tal vez no se quemó, pero definitivamente &#39bien hecho&#39

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Engineering Critique, Well known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia primary