Camino crítico para la mitigación del riesgo Interno [The Critical Path]

Vivimos un momento de gran evolución en la gestión y prevención del riesgo interno, pero aún analizamos la mayoría de los incidentes de ciberseguridad de forma reactiva, una vez han ocurrido. Aprendemos de los errores y mejoramos las medidas de seguridad a posteriori pero sabiendo que la vulnerabilidad e incertidumbre aparecen como si de un tsunami se tratase.

Eric Shaw y Laura Sellers aportaron luz con su investigación a este entorno y describen la aplicación del método Critical Path para evaluar los riesgos internos. La aplicación en el ámbito de la ciberseguridad de la mano de Shaw, prestigioso psicólogo especializado en el análisis de perfiles de riesgo interno, determinó que existen una serie de variables y patrones de comportamiento comunes de carácter individual y organizativo que se repiten a lo largo de los casos analizados.

En el análisis del “Critical Path” los indicadores actúan como alarmas sobre las que es fundamental enfocarse con el fin de evitar un posible ataque. Este modelo cuenta con cuatro elementos principales: predisposición personal, factores de estrés, cambios en el comportamiento e ineficiencia organizacional.

Vayamos a conocer en profundidad estos cuatro elementos:

a) Predisposición Personal

Las características personales que predisponen a un aumento del riesgo son:

- Existencia de un desorden médico o psiquiátrico que pueda afectar a la toma de decisiones.
- Características personales que denotan dificultades de adaptación, la carencia de habilidades sociales que puede dificultar adaptarse a las normas sociales o de la propia organización. Se ha de valorar si existe un comportamiento recurrente en cuanto a la dificultad para seguir los protocolos.
- Valorar si puede existir un entorno social de riesgo: por ejemplo que se hayan establecido relaciones con la competencia.
- Viajes inusuales, que pueden ser indicadores significativos.

Dentro de las predisposiciones personales, cabe añadir: los desórdenes médicos o psiquiátricos que pueden dificultar el autocontrol, problemas para percibir la realidad, abuso de sustancias, ansiedad o depresión. Así como problemas de personalidad o de habilidades sociales, los cuales pueden provocar situaciones de bullying, aislamiento, etc.

En numerosos casos ha quedado patente que sufrir acoso escolar durante la infancia así como las dificultades de integración son predictores de un alto riesgo.

Por otra parte encontramos la comisión de infracciones, cuyos estudios recientes (2010) reflejan que en 30% de los casos de riesgo interno el 30 % se daban en personas que ya reflejaban algún tipo de antecedente y podían haber sido arrestados por robo, fraude, consumo de sustancias, etc.

Por último, uno de los factores que funcionan como predictor personal, es el entorno social de riesgo. Es una variable delicada ya que se produce en un contexto social, familiar e incluso romántico que puede dar lugar a vínculos con la competencia. Es importante previo al contrato de una persona valorar si tiene contacto o pertenece a algún grupo de riesgo, ya que supone un aumento directo del riesgo para la organización.

Los grupos de riesgo pueden ser muy diversos y podrán suponer o no una amenaza para la organización dependiendo del core de las funciones de las personas.

Desde Kymatio proponemos un enfoque centrado en los rasgos de personalidad, fundamentados en su base biológica. Nuestros estudios señalan estas variables significativas de gran relevancia en el impacto del riesgo interno. Por ejemplo: Personas con un alto grado de cordialidad pueden ser fácilmente elicitables, ya que suelen confiar en las personas que les rodean y en su afán por ayudar pueden llegar a compartir información sensible. Con una adecuada identificación de su perfil y un plan de acción adaptado a sus necesidades el riesgo disminuirá considerablemente.

b) Factores de estrés

Fundamentalmente los podemos clasificar en factores

Personales
Profesionales
Económicos.

Los factores de estrés personales provocan cambios que suponen además esfuerzo y desgaste de energía para adaptarse a ellos. Es común que todas las personas nos estresemos de vez en cuando, pero las investigaciones demuestran que existe un mayor impacto sobre aquellas personas que tienen predisposiciones personales vulnerables al estrés y por tanto, son susceptibles de seguir los pasos del camino crítico.

Según los estudios parece existir una conexión directa entre factores profesionales estresantes con casos de espionaje. Así las cosas, un estudio reveló que en el 78% de los casos de insiders en los que se había filtrado información a gobiernos extranjeros, había detrás factores de estrés relacionados con una escasa evaluación del desempeño, clima laboral muy negativo o problemas interpersonales con personas de su equipo.

Los factores de estrés económicos son la principal motivación que aumenta los casos de riesgo interno. Provocan situaciones límite donde la persona pierde el foco de la consecuencia y opta por el beneficio más o menos inmediato. En la literatura existen numerosos casos reales asociados a este factor.

c) Cambios en el Comportamiento

Se ha demostrado que antes de que se produzca un acto relacionado con riesgo interno está precedido por comportamientos problemáticos observados por miembros de su equipo, tales como: incumplimientos de políticas o procedimientos, falta de rendimiento profesional, etc.

Se pueden considerar también comportamientos de riesgo problemas de comunicación entre los compañeros ya sea en persona, online, en redes sociales u otros. Así como comportamientos inusuales en cuanto a su día a día, hora de entrada y salida, o tomar distancia de los miembros de su equipo.

d) Respuestas organizacionales ineficientes

El último elemento y tal vez el más susceptible de mejora es la ineficiencia de respuesta por parte de las organizaciones. Queda un largo camino en la detección y plan de acción que corresponden a los diferentes elementos nombrados anteriormente.

Poner especial atención en las variables predisponentes ayuda sobremanera a la prevención del riesgo interno. Es fundamental establecer procesos de evaluación del riesgo y que los empleados tengan pleno conocimiento de los mismos, se ha de involucrar a las personas que forman parte de la organización.

En este punto es además interesante establecer mecanismos en los que los propios miembros del equipo puedan alertar a la organización de algún comportamiento inusual, ya que en muchas ocasiones los compañeros están al tanto del estado anímico de las personas con mayor riesgo.

Una vez detectado un posible problema es clave que la persona no se sienta intimidada y que si se realizan entrevistas con ella sea siempre desde la aproximación a la ayuda y en aras de mejora.

Basándonos en este planteamiento, podemos saber que una inadecuada respuesta organizacional sumada a las predisposiciones personales y factores de estrés generan el entorno perfecto para que un empleado pueda ser el foco de un incidente.

Aunque la secuencia que marca el Critical Path no se cumpla en el 100% de los casos, es necesario poner atención a las variables que nos pueden servir como predictoras ya que la probabilidad o riesgo de que las personas que pertenecen a la compañía participen en actos dañinos para la organización, se incrementa ante la acumulación de los factores ya comentados, sobre todo si son continuados en el tiempo.

No obstante, el número de empleados que manifiestan todos estos factores representa una proporción muy pequeña en relación a la totalidad de las personas que pertenecen a la organización.

Desde Kymatio nos sumamos a esta visión y tenemos en cuenta que existen personas que no solo pueden ser agentes que producen incidentes, sino activos valiosos que gestionan información, que suponen la mayoría. Las personas tienen vulnerabilidades y están expuestas a amenazas. Por tanto, el reto se encuentra en identificar, medir y mitigar los riesgos identificados. Es fundamental comprender las interrelaciones de todos estos procesos, sus puntos más críticos y vulnerables para poder operar sobre los factores estresantes que aumentan el riesgo.

Entre las características más comunes que influyen en el camino crítico del riesgo interno se encuentran la vulnerabilidad emocional, la baja autoestima, las necesidades insatisfechas, la falta de identidad, la impulsividad y la dificultad de adaptación para hacer frente a los cambios. Estas variables son comunes al riesgo.

Lo cierto es que los programas estándar de ciberseguridad no suelen contemplar una parte significativa del riesgo, especialmente el que generamos los empleados. Las herramientas actuales en su mayoría son reactivas y están centradas en tecnología, focalizándose en los síntomas y dejando a un lado las causas.

Es prioritario saber que, aun reuniendo todas las variables que pueden provocar que una persona pueda cometer un incidente de seguridad, si la organización tiene las medidas de mitigación y respuesta necesarias, puede lograr que la persona no participe en un incidente, sino que actúe como un firewall humano.

En Kymatio proporcionamos las herramientas necesarias para tratar los riesgos internos de origen humano, aportando visibilidad al conocer los tipos de riesgo, su distribución y su evolución en el tiempo. Somos eficientes en la mitigación del riesgo proporcionando planes personalizados y dirigidos, que ayudan a un uso eficiente de la tecnología donde y como es necesario.

Contacta con Kymatio para saber más.

Si os interesa conocer con más detalle la investigación de los autores Erick Shaw y Laura Sellers sobre la ruta del camino crítico, podéis acceder aquí.

Actualización Covid-19

Frente a la gravedad de al situación que enfrentan las empresas recomendamos consulta de los siguientes artículos relativos a los retos de ciberseguridad frente a la pandemia producida por el Covid-19.