Los 90 primeros días de un empleado en la empresa, críticos para la ciberseguridad ante la posibilidad de riesgos internos
Los primeros 90 días de un profesional en una empresa pueden verse como un periodo de prueba para los empleadores de que no cometieron un error; y no sólo laboralmente, sino también desde el punto de vista de la ciberseguridad.
Estas personas recién incorporadas a la organización pueden conllevar un alto riesgo inicial, según el equipo de investigación de amenazas de Proofpoint.
Para los expertos en ciberseguridad, tener un sano escepticismo ante nuevas contrataciones es bueno, aunque no hay que suponer lo peor. Una de las principales cuestiones que se debe evaluar en estos profesionales es su comportamiento en cuanto a información privilegiada, preguntándose si podrían robar estos datos o causar algún daño a la organización. No han sido pocos los incidentes en los que personas malintencionadas se han abierto paso en una empresa con esos propósitos a través de un proceso de contratación, incluso sin tener todas las habilidades requeridas para el puesto. En esos casos, de hecho, tratarán de progresar rápidamente hacia sus objetivos para salir antes de que su incapacidad se haga evidente.
Los profesionales de la seguridad de la información deben estar preparados en caso de que las cosas no salgan según lo planeado. En un momento en el que han aumentado las amenazas internas y la pérdida de datos provocada por las personas, más CISOs que nunca (86%) ven el riesgo humano como una preocupación clave en materia de ciberseguridad en los próximos dos años. Según el informe Data Loss Landscape de Proofpoint, el 17% de los encuestados en España afirmó que detrás de incidentes de pérdidas de datos en organizaciones había personas con información privilegiada, como empleados, proveedores o personas con malas intenciones. Pero muchas de ellas son amenazas internas: más de dos tercios (67%) de los empleados españoles ponen en riesgo a sus organizaciones de forma consciente.
Tradicionalmente, cuando una persona se incorpora a una empresa, pasa por un periodo en el que recibe un cierto nivel de formación sobre el cumplimiento de la normativa y el sistema técnico antes de incorporarse oficialmente al puesto de trabajo. Pero en los entornos de trabajo actuales, con escasez de personal, los recién contratados suelen trabajar de inmediato. Reciben formación cuando han pasado de dos a cuatro semanas y ya tienen acceso a datos potencialmente sensibles. Por tanto, no es de extrañar que la pérdida accidental de datos y el sabotaje del sistema sean dos de los riesgos internos más comunes en este período.
Otra fuente de riesgo está relacionada con el cumplimiento de expectativas diferentes sobre cómo tratar los datos. Puede que el usuario en su organización anterior no haya tenido los mismos requisitos de privacidad y cumplimiento que los que ahora debe cumplir en su nuevo empleo. O que los patrones de comportamiento de los recién contratados sean contrarios a la naturaleza de su actual empresa. Por ejemplo, en centros de enseñanza se valora la colaboración, el intercambio de información y el aprendizaje colectivo, pero en un sector tan regulado como los servicios financieros la mentalidad es la contraria. Asimismo, ha habido casos importantes de filtración de datos, porque los contratados venían de trabajos en los que las políticas y los procedimientos eran mucho menos estrictos o controlados.
“Los primeros 90 días deben ser un período durante el cual el equipo de ciberseguridad de la empresa debe utilizar una mayor visibilidad y supervisión para asegurarse de que el empleado recién llegado no se comporta de forma arriesgada o maliciosa, ayudando a mitigar el riesgo de amenazas internas”, explica el equipo de investigación de amenazas de Proofpoint. “Pero también resulta muy fácil para los trabajadores volver a caer en patrones de comportamiento habituales de manipulación, gestión y control de datos cuando se trasladan de una empresa a otra; y, por eso, es tan importante contar con un programa de amenazas internas eficaz".