We use cookies to ensure that we give you the best experience on our website.

Sus mayores riesgos de ciberseguridad podrían estar dentro de su organización

A medida que el mundo digital continúa creciendo, también lo hacen el volumen, la variedad y la velocidad de las amenazas y ataques cibernéticos. El mundo está inundado de datos y siempre hay alguien que intenta convertirlos en su propia moneda virtual.

En la actualidad, el malware y el ransomware afectan a todo, desde nuestros teléfonos móviles personales hasta la infraestructura y las cadenas de suministro de misión crítica. Ya sea phishing, smishingo deseoslos atacantes también se están volviendo más sofisticados y utilizan detalles sobre nuestra vida personal y laboral para tentarnos a compartir nuestros datos.

Pero en un mundo donde todo el mundo es un objetivo, las empresas también deben comprender su exposición a los riesgos que provienen de adentro sus organizaciones. En la actualidad, más de 300 millones de personas trabajan de forma remota, creando, accediendo, compartiendo y almacenando datos dondequiera que vayan, y las filtraciones de datos que surgen de amenazas internas y percances simples pueden costar a las empresas un promedio de $ 7.5 millones anuales. Considerar la violación de datos de 2022 de Cash App, donde un ex empleado accedió a los informes financieros de los clientes después de ser despedido. La brecha probablemente afectó a 8,2 millones de clientes actuales y anteriores.

En última instancia, no importa si la infracción fue intencional o accidental. Los programas de riesgo interno deben ser parte de la estrategia de seguridad de cada empresa. Para tener éxito, las organizaciones deben liderar con sus empleados como socios en el esfuerzo y complementar su programa con herramientas avanzadas que detecten y mitiguen los riesgos internos dondequiera que surjan.

Aquí hay cuatro lecciones que aprendí como CISO en Microsoft, administrando nuestro programa de riesgo interno a medida que creció de una pequeña iniciativa interna a una unidad comercial que informa al CEO.

1. Priorizar la confianza y la privacidad de los empleados

Este punto viene primero por una razón. En los negocios y en la vida, la confianza es la clave para el funcionamiento de cualquier relación. Los mejores programas de riesgo de información privilegiada enfatizan el equilibrio entre la privacidad de los empleados y la seguridad de la empresa. Es fundamental idear controles y políticas de privacidad que mantengan, e incluso aumenten, la confianza.

Configurar herramientas para filtrar indiscriminadamente las actividades de los empleados en busca de irregularidades no solo es ineficaz y contraproducente, es simplemente incorrecto. Es una invasión de la privacidad que crea ansiedad y erosiona la relación. Las organizaciones deben ser capaces de detectar riesgos internos, pero deben hacerlo de la manera correcta, actuando de manera transparente y dentro de un alcance estrictamente definido para demostrar respeto y extender la confianza a los empleados.

La configuración de controles de privacidad que protegen las identidades en el trabajo, incluso durante las investigaciones, les permite a las personas saber que usted también las está protegiendo. El uso de acceso basado en roles para herramientas internas de administración de riesgos también ayuda a garantizar que la persona adecuada esté revisando las alertas de cumplimiento, lo que evita que surjan sospechas injustificadas en la organización.

2. Colaborar entre funciones

Si bien los grupos de TI y seguridad liderarán el camino, el riesgo interno es un problema comercial que involucra a toda la empresa. En Microsoft, aprendimos esto con el tiempo. Lo que comenzó como una iniciativa en nuestra organización de seguridad evolucionó hasta convertirse en un esfuerzo unificado entre los grupos comerciales, incluidos los líderes legales, de recursos humanos y sénior.

Esta amplia participación ayuda a garantizar una aceptación más amplia y brinda perspectivas y recursos adicionales, como el departamento legal que prioriza las regulaciones emergentes y RR.HH. que facilita los programas de capacitación y las encuestas. Un comité de riesgo interno o un ombudsman pueden ayudar a iniciar la conversación. Una de sus primeras tareas debe ser crear un plan de respuesta que describa cómo se comparte la información, cuándo y qué contribuye cada grupo, quién toma qué decisiones y quién es responsable.

También es importante tener metas compartidas con medidas claras de éxito. Puede ajustar el proceso mediante la cuantificación de métricas clave, como la cantidad de casos planteados, los indicadores de verdadero positivo y falso positivo, y las acciones realizadas como resultado de los hallazgos. Si tiene una gran cantidad de falsos positivos, corre el riesgo de sobrecargar a sus equipos legales y de recursos humanos con investigaciones costosas e innecesarias.

3. Reconocer que los empleados son la primera y última línea de defensa

Lograr que los empleados participen en la capacitación sobre protección de datos y cumplimiento puede ser un desafío, pero es importante que sepan cómo mitigar los riesgos de seguridad y por qué es una prioridad. Las capacitaciones que enfatizan la administración de datos muestran que la organización está extendiendo su confianza a los empleados a medida que sirven al negocio.

Capacite a las personas sobre cómo manejar los datos de la organización de manera adecuada y repita ese mensaje regularmente para que siempre esté actualizado. También ayuda a hacerlo personal. La mayoría de las personas entienden y se involucran de inmediato en cómo proteger sus propios datos financieros y de atención médica. Infundir un aspecto personal en la capacitación conecta los puntos sobre la importancia de la protección de datos para el negocio también.

Capacitar a las personas sobre el principio de “ver algo, decir algo” sin riesgos es una capacidad crítica para un programa interno. Al mejorar la educación y capacitación en seguridad de datos, las empresas pueden capacitar a los empleados como primera y última línea de defensa que se complementa con herramientas de detección.

4. Utilice herramientas de aprendizaje automático para hacer más con menos

Gartner define la gestión de riesgos internos como “las herramientas y capacidades para medir, detectar y contener el comportamiento indeseable de las cuentas de confianza dentro de la organización”. Y las herramientas internas de gestión de riesgos se han vuelto mucho más precisas y efectivas en los últimos años.

Las herramientas más antiguas tienden a pasar por alto los indicadores sutiles que pueden identificar a un mal actor que intenta ocultar sus huellas. También suelen presentar controles demasiado estrictos que reducen la productividad y fomentan soluciones alternativas. Hoy en día, está surgiendo una nueva generación de herramientas de administración de riesgos internos con capacidades de seguridad adaptables que pueden detectar actividades de riesgo y mitigar cualquier impacto potencial mientras se mantienen fuera del camino y mantienen la privacidad de la información del usuario.

Cuando una actividad como imprimir un archivo confidencial puede no mostrar intención, una secuencia de actividades conectadas como cambiar el nombre del archivo y luego eliminarlo después de imprimirlo podría indicar algo más serio. Usando el aprendizaje automático, estas herramientas pueden separar la señal del ruido e identificar acciones sutiles, reduciendo los falsos positivos que pueden atascar a la organización.

Un programa exitoso de riesgo interno se enfoca en las personas, los procesos y las tecnologías

La gestión de los riesgos internos y externos es vital para la seguridad de cualquier organización. Cada uno presenta sus propios desafíos, pero lo que hace que la gestión de riesgos internos sea especialmente complicada es la necesidad de equilibrar personas, procesos y tecnologías.

Las herramientas poderosas pueden ayudar a impedir, detectar y responder a los riesgos internos, pero no abordarán las causas fundamentales. Ahí es donde la incorporación detallada, las capacitaciones de seguridad, los ejercicios de creación de equipos y los programas de equilibrio entre el trabajo y la vida son útiles. La creación de un ambiente de trabajo saludable ayuda a reducir el riesgo de que un empleado se involucre intencionalmente en un comportamiento peligroso. Pero al final del día, lograr el equilibrio entre las personas y la tecnología es lo más importante. La gestión de riesgos tiene que ser proactiva y continua, y se necesita confianza, transparencia y colaboración para mantener ese motor en marcha. Esta filosofía —primero las personas, respaldadas por una tecnología poderosa— es la única forma de prevenir incidentes antes de que sucedan, detectarlos si suceden y responder a ellos de manera rápida y efectiva.

Related Posts

Trending now

Sus mayores riesgos de ciberseguridad podrían estar dentro de su organización
Sus mayores riesgos de ciberseguridad podrían estar dentro de su organización
Aquí están las principales noticias móviles de Canadá de la semana pasada
Aquí están las principales noticias móviles de Canadá de la semana pasada
La semana en los negocios: no guardar trabajos
La semana en los negocios: no guardar trabajos
El logotipo del "gusano" de la NASA volverá al espacio
El logotipo del “gusano” de la NASA volverá al espacio