Riesgo interno en ciberseguridad, riesgo percibido vs riesgo real.

Los expertos en ciberseguridad vienen señalando desde hace tiempo que uno de los principales riesgos para las empresas, y probablemente la mayor amenaza para la seguridad, no son los ciberterroristas ni las grandes vulnerabilidades de los sistemas, sino que lo somos los propios empleados, los insiders. Insider es toda persona que, por la naturaleza de su trabajo, tiene acceso a los sistemas, archivos y en definitiva a la información ya sea está confidencial, reservada o directamente secreta. Múltiples estudios  señalan a los empleados descuidados, negligencia, sobrecarga, en general a la amenaza interna accidental, como la causa más común de los incidentes. Esto se alinea con los datos independientes publicados por el Instituto Ponemon en abril de 2018, lo que sugiere que la negligencia causó el 64% de todos los incidentes de amenazas internas en los últimos 12 meses. Los insiders están en el origen de la mayor parte de los incidentes de ciberseguridad (60% de casos involucran a un insider, fuente IBM). Ahondando en esta línea, y según datos de Accenture, el 70% de las empresas indica que sus organizaciones han experimentado un incidente interno, de origen insider, en los últimos 12 meses. En el ámbito de la ciberseguridad, la que tiene un verdadero planteamiento holístico, se entiende como parte fundamental la atención a la amenaza insider. Para ello son claves, tanto la mejora de la predicción con un mejor conocimiento del riesgo y acciones como el lanzamiento y ejecución continuada en el tiempo de acciones preventivas, que son primordiales para iniciar la senda de la disminución del riesgo insider. Sin omitir el valor que tienen las acciones transversales, la baja efectividad de las campañas de concienciación y otras acciones formativas o de endurecimiento demuestran la importancia de las acciones específicas y personalizadas para cada empleado, siempre teniendo en cuenta que las circunstancias cambian de un instante a otro. Siendo necesario un enfoque que permita ayudar a las organizaciones en la identificación, priorización y ejecución de planes en función, tanto de la situación de cada persona, como los criterios de riesgo e impacto asociados a su puesto.

Riesgo percibido vs Riesgo Real.

En su artículo “Perceived and actual risk”, Jon Danielsson, Director del Centro de Riesgo Sistémico de la London Schools of Economics, demuestra cómo el riesgo percibido (aquel predicho por los modelos) y el riesgo real (el riesgo subyacente fundamental) están correlacionados negativamente. Hablamos de correlación negativa cuando la relación entre las variables es opuesta (o inversa), dicho de otra forma, cuando una variable cambia, la otra se modifica hacia el valor contrario. Aceptamos pues que el riesgo percibido no representa adecuadamente el riesgo real, esta circunstancia hace absolutamente imprescindible la adopción de posiciones proactivas mientras nos alerta  ante la subestimación del riesgo insider que supone la antesala de la materialización del incidente interno. Ahondando en el argumento “riesgo percibido vs real”, Mr. Danielson señala que los modelos de pronóstico de riesgo subestiman el riesgo antes de una crisis y lo sobrestiman después, por lo que a modo de corolario podemos confirmar que los modelos son sistemáticamente incorrectos.

¿A qué nos enfrentamos al subestimar el riesgo insider?

Los más valiosos activos, desde los datos a las infraestructuras, pasando por operaciones o los propios resultados de la actividad de I+D+i están expuestos. Sin abordar la potencial pérdida de confianza de inversores, clientes o empleados, ni el daño reputacional, observamos los informes sobre el coste de los incidentes. Los estudios del Instituto Ponemon arrojan la cifra media, nada desdeñable, de 5 millones de dólares por cada brecha de seguridad causada por insiders. El Instituto SANS por su parte cifra en aproximadamente $ 400K los costes de investigación y remediación de cada incidente. Las empresas han de demostrar que son diligentes en la prevención de riesgo humano. Todas las informaciones disponibles demuestran que cada vez es más crítico y sin embargo no se materializan medidas más allá de la formación general.

¿Cómo abordar la amenaza insider?

Entre las medidas de mayor consenso que se están llevando a cabo para abordar el problema insider destaca la creación del departamento de amenaza interna, o en su caso si no puede disponerse de recursos dedicados, la implantación virtual de dicha función sustentada en departamentos existentes. Apoyarse en un partner de ciberseguridad para la creación del Programa de amenaza insider puede ser el inicio del camino hacia una posición altamente diligente en lo relativo a prevención. Especial relevancia tiene el compartir con los empleados el objetivo de conseguir el salario emocional, como medida para lograr la tranquilidad laboral y que deberá formar parte del employer branding de la empresa.  

6 Recomendaciones para la prevención del Riesgo insider

Visto lo anterior, algunas recomendaciones que deberán incluirse en la solución al problema insider serán:

Empleados

• Hacer partícipes a los trabajadores de la problemática insider.
• Hacerles conocedores y parte implicada de las medidas a abordar.
• Conocer sus necesidades y la situación real en su puesto para lanzar medidas activas de apoyo.

Organización

• Implementar departamentos o planes de amenaza interna.
• Buscar apoyo en partners especializados.
• Trabajar en incrementar significativamente la eficacia de los planes de concienciación y endurecimiento. Seleccionar adecuadamente cada conjunto de medidas a aplicar para cada persona.

Es necesaria una apuesta decidida por la prevención basada en datos, soportada en predicción y enfocada en apoyar al empleado para obtener la requerida disminución del riesgo y prevención avanzada de potenciales amenazas insider. Descubre más sobre prevención del riesgo insider en el site Kymatio.com Más información sobre el autor: