Los empleados son activos valiosos: por qué debe protegerlos


Dos expertos sugieren que llamar a los empleados «amenazas internas» es contraproducente los empleados son activos que necesitan protección.

empleados.jpg

Imagen: Luis Alvarez / DigitalVision / Getty Photos

Si las empresas continúan enfocándose en aumentar los programas de ciberseguridad técnica, las cosas no van a mejorar. En cuanto a por qué, Invoice Priestap y Holden Triplett, cofundadores de Trenchcoat Advisors y profesores adjuntos de la Universidad de Georgetown en su artículo de Lawfare, Si no protegemos a las personas, la seguridad de la información seguirá siendo una quimera, sugieren que hay un problema que no se está abordando adecuadamente. «La gente de una empresa presenta la máxima vulnerabilidad», escriben Priestap y Triplett. «Hasta que los empleados estén debidamente protegidos, es possible que la verdadera seguridad de la información permanezca fuera de su alcance».

VER: Política de protección contra robo de identidad (TechRepublic Quality)

Tres conceptos erróneos importantes sobre la seguridad de la información

Fíjense, no se menciona la culpa Priestap y Triplett ven a los empleados como activos que necesitan protección. «Las empresas tienden a priorizar la seguridad técnica a expensas de proteger a sus empleados», explican los dos autores. «Hay tres conceptos erróneos importantes sobre la seguridad de la información que desincentivan la asignación de recursos para proteger a las personas».

Primer malentendido

La seguridad de la información se ha convertido en sinónimo de ciberseguridad. Los autores mencionan que gasto en ciberseguridad está en su punto más alto, sin embargo, hay tantos informes prediciendo que se espera que el daño causado por las intrusiones cibernéticas aumente de $ 6 billones en 2021 a $ 10,5 billones en 2025. Sin embargo, el La industria de la ciberseguridad se mantiene en un statu quo muy infructuoso.. «Si bien la ciberseguridad es importante, negocios, con razón, se preguntan si por sí solo mitigará el riesgo de seguridad de la información, o si han llegado al punto de rendimientos decrecientes «, explican Priestap y Triplett.» Quizás, el problema debería abordarse de otra manera «.

Segundo concepto erróneo

Los programas de amenazas internas son adecuados y suficientes. Este es un tema delicado para la mayoría de los empleados. Las empresas han agregado programas que designan a los empleados como amenazas y dependen de la vigilancia como un medio para controlar el comportamiento de los empleados.

A Priestap y Triplett, ambos con experiencia en contrainteligencia con el FBI, les gustaría que las empresas vean las amenazas internas de manera diferente. Las agencias de inteligencia, también los ciberdelincuentes, al reclutar, deben considerar la idoneidad y el acceso. En otras palabras, ambos buscan a los más capaces de llevar a cabo sus instrucciones y que ya tienen acceso. «Esto significa que los empleados de una empresa generalmente no son una amenaza cuando son contratados, pero (dependiendo de su idoneidad) pueden convertirse en objetivos de reclutamiento valiosos una vez que están dentro de una empresa en distinct», sugieren Priestap y Triplett. «Los empleados entonces son vulnerables a ser explotados consciente o inconscientemente por un estado-nación que los utilizará para obtener lo que quieren sin tener en cuenta las consecuencias a largo plazo para los empleados».

Las empresas, según Priestap y Triplett, necesitan un programa proactivo y persistente para proteger a sus empleados de los adversarios: estados-nación o ciberdelincuentes. El programa debe:

  • Proporcionar a los empleados la información y las herramientas para protegerse a sí mismos y a los activos que manejan.
  • Ayude a los empleados a reconocer la actividad adversa y guíe su respuesta

Priestap y Triplett destacan la importancia de ser proactivos. La mayoría de los programas de amenazas internas existentes utilizan la palabra preventiva, pero son más reactivos que cualquier otra cosa. Dependen de atrapar a los empleados después de que se haya realizado la escritura. «Muchos programas de amenazas internas utilizan la transferencia de datos como un evento precipitante para identificar a los empleados de interés», añaden los autores. «Bajo esas prácticas, los programas de amenazas internas rara vez hacen algo más que identificar problemas como la pérdida de datos después de que ya han ocurrido».

Por un lado, la empresa puede sentirse bien al eliminar una amenaza interna, pero sin ser proactivo, es possible que los activos valiosos ya se hayan transferido a otra empresa o estado-nación, y la empresa se verá afectada como resultado.

Otra cosa sobre la que advierten los autores: «El mismo nombre del programa implica que los empleados son amenazas. Una vez que una empresa comienza a tratar a sus empleados como tales, corre el riesgo de dañar la confianza, el ingrediente clave de la relación empleador-empleado».

Tercer error

La mayoría de las intrusiones cibernéticas son de naturaleza técnica, por lo que las empresas solo deben preocuparse por ese aspecto, en lugar de entenderlo como parte de una operación más grande.

Este concepto erróneo es una valiosa herramienta de los ciberdelincuentes. La mayoría de las intrusiones no son puramente técnicas ni puramente de manipulación por parte de los empleados. Esto Informe de IBM 2020 realizado por el Ponemon Institute mencionó que los insiders (a menudo empleados) representan el 60% de todos los ciberataques. Este estudio de Verizon determinó que el 94% de todo el malware ingresó a las empresas víctimas a través del correo electrónico.

De ese malware enviado por correo electrónico, según el empresa de ciberseguridad Proofpoint, El 99% requirió algún nivel de interacción humana para tener éxito. «Es basic que las empresas comprendan que sus vulnerabilidades de información no son puramente técnicas», afirman Priestap y Triplett. «Ver el riesgo de intrusión como solo un problema técnico se centra en las herramientas utilizadas en lugar del panorama common».

Es importante analizar el por qué y el cómo. «Las empresas de ciberseguridad se centran en comprender las TTP (tácticas, técnicas y procedimientos) de los conjuntos de intrusión», mencionan los dos autores. “En otras palabras, simplemente miran el &#39cómo&#39 de una intrusión en lugar del &#39por qué&#39. Si bien es necesario, centrarse en el cómo no es lo suficientemente completo, ya que su eficacia depende de ver todas las diferentes formas en que los actores cibernéticos intentan acceder a una crimson «.

Además, centrarse en el cómo no te dice lo que buscaban. «Reunir de manera forense las acciones de un actor cibernético en su red, y lo que han tomado es un proceso minucioso y, en última instancia, tiene una utilidad limitada», advierten Priestap y Triplett. «Es posible que vea algunas o incluso la mayoría de las actividades del actor (datos revisados ​​o extraídos), pero los eventuales beneficiarios de esa información y sus intenciones son opacos».

Otra preocupación de Priestap y Triplett es la penúltima espina en el costado de la ciberseguridad: la mayoría de las veces, la conveniencia gana sobre la seguridad. “Muchas empresas de ciberseguridad han intentado reducir los riesgos, vulnerabilidades y soluciones a solo su manifestación técnica”, sugieren los autores. «Definitivamente, esto es más fácil desde el punto de vista de la entrega de productos y el desarrollo comercial, pero no es suficiente para ayudar a las empresas a comprender y abordar la causa subyacente».

Pensamientos finales

Tanto la propiedad intelectual como los empleados deben considerarse activos valiosos que deben protegerse. «De lo contrario, los recursos de seguridad limitados de cada negocio pueden asignarse de manera inapropiada», concluyen Priestap y Triplett. «Su empresa podría terminar protegiendo las cosas incorrectas o protegiendo las cosas correctas de la manera incorrecta».

Nota: Esta publicación es una continuación del artículo de TechRepublic Por qué los empleados necesitan formación en contraespionaje.

Ver también



Enlace a la noticia initial