El Departamento de Estado de EE. UU. Comparte consejos sobre información privilegiada …



La amenaza interna es un problema de tecnología, seguridad y private, dijeron los funcionarios al explicar un enfoque que aborda los tres factores.

CONFERENCIA RSA 2020 – San FranciscoCada empleado tiene el potencial de convertirse en una amenaza interna, ya sea por medios accidentales o maliciosos. Las organizaciones con los pasos correctos pueden evitar que una persona se vuelva pícara y detectar estas amenazas antes de que sea demasiado tarde.

En el Departamento de Estado de los Estados Unidos, todas las personas que tienen acceso virtual o físico a su purple, instalaciones o información se consideran personas con información privilegiada, dijo Greg Collins, asesor de políticas de contratistas, durante una sesión de la Conferencia RSA esta semana sobre amenazas internas. «Cualquier cosa a la que puedan acceder e intentar hacer un mal uso es una amenaza interna», explicó Collins.

«No es solo un problema tecnológico, no es solo un problema de seguridad, y no es solo un problema de particular», agregó Jackie Atiles, directora del programa de amenazas internas del Departamento de Estado. Cuando se create una amenaza interna, las empresas no pueden retroceder y cambiar lo que sucedió, pero pueden mirar hacia atrás y ver los indicadores que estaban disponibles para evitar futuras amenazas.

Estos marcadores se pueden detectar en todas las etapas del ciclo de los empleados, dijo Collins, un proceso que generalmente se ve igual para las organizaciones en todas las industrias e incluye los siguientes pasos: contratación, investigación, capacitación, inclusión, apoyo y seguridad. Él y Atiles tomaron un escenario de amenaza interna y lo vieron a través de cada paso para señalar las banderas rojas que indicaban actividad maliciosa.

En su escenario de ejemplo, que fue inventado para esta presentación pero que probablemente le resulte common a muchas organizaciones, utilizaron a un empleado que envía un correo electrónico que contiene datos internos confidenciales a alguien externo a la organización. «Esto me mantiene despierto por la noche», dijo Collins. «Esto es algo que absolutamente no quieres que suceda».

Pero sucede, y cuando sucede, es importante sustituir primero el nombre del individuo con un identificador único. «Una cosa que realmente respaldamos es tratar de evitar daños a la reputación», dijo Collins. Si se ha producido actividad interna pero no sabe si hubo una mala intención, es mejor mantener al individuo en el anonimato para no enturbiar el nombre de la persona. Una vez que se ha establecido el caso, puede comenzar a retroceder y determinar dónde, exactamente, salieron mal.

En este escenario, la amenaza ya ha sucedido. En lugar de comenzar el proceso de investigación desde la fase de contratación, Atiles aconsejó comenzar con mecanismos de seguridad. «TI es la última línea de defensa cuando se trata de información que sale de la crimson», explicó, y hay varios indicadores de que alguien podría hacer esto antes de presionar Enviar. Busque palabras desencadenantes: un nombre externo de la compañía, «archivo adjunto» o «secreto». Haga preguntas: ¿Cuál fue el archivo adjunto? ¿Es esto algo que ha ocurrido regularmente? ¿Hay alguna razón por la que están usando la palabra «secreto»?

«Si bien la seguridad puede identificar las anomalías a través de unos y ceros, el elemento humano puede usarse para identificar cuáles son las amenazas potenciales», explicó Atiles.

Dar otro paso atrás en el ciclo lo lleva al apoyo, oa las políticas y recursos que están en su lugar para garantizar que los empleados tengan apoyo para el estrés profesional, personal o financiero. Si una persona con información privilegiada incumple accidentalmente las reglas de seguridad o saca archivos fuera de la organización, podría deberse a circunstancias externas que hacen que se comporten de manera diferente a lo recurring, señaló Collins. Al brindar apoyo a sus empleados, los líderes de la compañía pueden evitar esta actividad.

«Los gerentes deben administrar los gerentes deben comprometerse», dijo Atiles. «Los supervisores son la mejor defensa contra el comportamiento de amenazas internas. Hay una diferencia entre un empleado introvertido que a veces quiere estar solo y un aislacionista que se mantiene en secreto todo el día.

Ella enfatizó la importancia de hacer que las personas se sientan incluidas. «A medida que las personas cambian de posición … asegúrese de crear un entorno que incluya a las personas y que no cree un riesgo interno desde el principio». Atiles señaló que educar a los gerentes en la formación de equipos no es solo una actividad de «sentirse bien». Los empleados que se sienten incluidos tienen menos probabilidades de convertirse en un riesgo de seguridad futuro.

Verificación y capacitación de empleados
Examinar y capacitar adecuadamente a los empleados puede ayudar a las organizaciones a detectar amenazas antes de que sea demasiado tarde.

La capacitación puede abarcar una variedad de temas diferentes, dijo Collins, como ejemplos de conciencia de seguridad, manejo de datos, diversidad e igualdad de oportunidades de empleo, desempeño y desarrollo. Desea asegurarse de que los empleados completen regularmente la capacitación, especialmente si manejan información como datos de recursos humanos, registros médicos, registros financieros y números de Seguro Social.

Si un empleado envía un correo electrónico con datos de la compañía fuera de la organización, considere si completaron sus entrenamientos asignados. ¿Tomaron el entrenamiento? ¿Cumplieron ellos?

Antes de la etapa de capacitación se encuentran las etapas de contratación y verificación del ciclo del empleado. «Debe examinar a sus empleados desde el principio», dijo Atiles. «Es un mal servicio para su propia organización si no sabe con quién trabaja».

El proceso de investigación de antecedentes debe ser uniforme, consistente con las políticas y aprobado por un abogado general, dijo. Puede incluir antecedentes penales, informes financieros, verificación de antecedentes, asociaciones externas, información de código abierto y viajes y contactos en el extranjero. Traer una nueva persona a bordo es su oportunidad inicial para asegurarse de que no está contratando una amenaza interna.

El currículum, la entrevista y las referencias de un candidato pueden ser fundamentales para medir su riesgo. «Estos son grandes fragmentos del perfil profesional que conforma a este individuo», agregó.

La amenaza interna puede aparecer en cualquier parte del ciclo del empleado, pero para cuando se create la amenaza, es demasiado tarde para detectarla. Tomar esta estructura y ponerla alrededor de su organización va a reducir ese potencial de riesgo, dijo Collins.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dark Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia original