‘Cyber risk’: el riesgo interno para una empresa, por Ben Schneider

Uno de los aspectos más importantes no resueltos en ciberseguridad es la amenaza que representa el riesgo interno, vale decir, acciones generadas por los propios empleados de la firma, ya sea por negligencia o por dolo. En un estudio realizado por la consultora McKinsey, 50% de los casos analizados corresponde a esta categoría. Los percances originados por negligencia son consecuencia de una mala capacitación o baja moral, lo que expone a la empresa a daños de consideración.

En el caso de ciberataques por dolo, cuyo potencial de daño es aun mayor, muchas empresas se equivocan en la forma de combatirlo. En primer lugar, los empleados maliciosos no siempre actúan con el propósito de dañar a la empresa, sino que lo hacen ya sea por interés propio o para llamar la atención a manera de complejo de héroe, que los impulsa a revelar información sensible pensando que con ello están realizando un acto de bien, cuando en realidad, están pensando en ellos mismos.

Sectores como banca, seguros, telco, ‘retail’, cuidado de la salud y farmacéutico son los más expuestos, de acuerdo con la investigación. Para combatir el riesgo cibernético por dolo, las empresas utilizan software que analiza permanentemente cualquier desviación en el accionar de los trabajadores al interactuar con los sistemas informáticos de la firma. En base a ello, seleccionan los casos más llamativos, los mismos que son analizados. Pero este procedimiento implica monitorear a todos los colaboradores, muchas veces genera una gran cantidad de ‘falso positivos’, y la carga de expedientes a investigar se hace tan pesada, que en la mayoría de los casos la detección del riesgo deviene en extemporánea.

Existe, sin embargo, una alternativa que mejora sustancialmente la defensa contra este tipo de ataques. Implica microsegmentar los llamados ‘hot spots’ o áreas de mayor riesgo.

Adicionalmente, aplicar un cambio cultural en cómo abordar el problema. En vez de tratar de descubrir al agresor, se sugiere dentro del respeto a la protección de la privacidad del colega, estar atentos a signos que implican riesgo potencial. Por ejemplo, personal que por diversos motivos lleva mucho tiempo sin lograr una promoción o si manifiesta encontrarse bajo estrés financiero. Por último, al identificar los ‘hot spots’ y los perfiles de personas con propensión a cometer alguna violación a los datos de la firma, se podrá implantar un sistema de predicción para oportunamente detectar y tomar medidas correctivas.

El principal activo que tienen las organizaciones hoy en día es la cuantiosa data que manejan de sus clientes y proveedores, pero a la vez este acervo se convierte en fuente de potenciales daños a la empresa.

El ‘cyber risk’ o riesgo cibernético se convierte hoy en una amenaza que las organizaciones no deben descuidar y que requiere la implantación oportuna de modelos, para proteger a la firma y sobre todo a sus clientes.