Uno de los problemas más graves, complejos y causantes de pérdidas económicas para las empresas, son los incidentes internos de seguridad, que involucran a personal, propio o subcontratado, y están relacionados con los datos, documentación y los propios sistemas de información. Son de muy diversa índole las medidas que se pueden establecer cuando se producen este tipo de incidentes; sin embargo, la mayor parte de ellas suelen ser meramente reactivas, una vez ya se ha producido el incidente y el daño está hecho.
Desde Kymatio promovemos una posición preventiva frente a los problemas relacionados con el incidente interno de origen insider, y lo hacemos teniendo en cuenta un factor clave que muchas veces no está siendo bien evaluado: la psicología del empleado.
Somos diferentes
Las personas, en nuestro devenir diario, vamos generando pistas, pequeñas señales acerca de cómo somos, de cómo interpretamos y habitamos el mundo. Algunos somos más activos, nos movemos más, hablamos más e interactuamos con más personas, mientras que otros podemos ser, y nos comportamos, de forma opuesta. Igualmente es fácil imaginarse a dos personas reaccionando de forma diferente frente a un mismo estímulo como, por ejemplo, la forma de acoger la misma noticia. Todo esto resulta muy relevante dentro de las pautas de interacción entre individuos y, por tanto, también es fundamental en el entorno laboral.
El trabajador dentro de la compañía
Dentro de una empresa encontramos personas de muy diferentes tipos: las que se comunican mucho y con muchos, las que son más reservadas, las que necesitan levantarse cada poco tiempo, los que son más atentos, los que son más individualistas, etc. Encontramos todo tipo de acciones y actitudes que permiten imaginar la riqueza de las diferentes interacciones humanas reflejando la complejidad de nuestros ecosistemas y señalando la importancia de la psicología de estos trabajadores, marcando agrupaciones de fortalezas y debilidades dentro de dicho entorno.
Si cada persona es diferente, cabe inferir que su problemática también lo será. Es decir, cada persona difiere de las demás en sus intereses y en sus capacidades, lo que se plasma en las funciones que desempeña, y que se expresa en la forma que tenemos de afrontar las distintas situaciones. Es importante conocer estas diferencias, ya que nos ayudarán a saber en qué estado es probable que nos encontremos y cómo trabajar para identificar las necesidades y palancas de apoyo que debemos activar. De esta forma se podrán potenciar sus aspectos positivos, así como apoyarles en aquellos puntos en los que se puedan mejorar aún más sus capacidades.
Foco en … protección de la información
Thomas R. Peltier, experto y referencia en el ámbito de la seguridad de la información, indica en su artículo “Social engineering: Concepts and solutions” para la Information Security Journal, que alrededor del 70% de los incidentes relacionados con la fuga de información en las empresas tienen origen en los propios empleados. Sin embargo, lejos de producirse de manera intencionada, defiende que la mayor parte de los incidentes se debe a errores cometidos por el Grupo de Riesgo Insider Negligencia (GRI Negligencia).
Conocer la psicología del empleado, su situación frente al puesto de trabajo, estado de sensibilización normativa o el grado de concienciación en ciberseguridad entre otras, permite determinar los principales GRIs a los que pueda pertenecer y lanzar acciones preventivas conducentes a la reducción del riesgo relacionado con dichas tipologías.
Dicho conocimiento nos permite identificar qué trabajadores son más propensos a agobiarse, quiénes son más despreocupados, quiénes son más confiados… conocer todo esto dentro del ámbito profesional contribuye no solo a reducir la probabilidad de que ocurra un incidente insider, sino también a mejorar las competencias de las personas, trabajando con ellas de forma individual y personalizada. Por ejemplo, nos permite realizar un seguimiento de trabajadores que puedan ser más propensos a la entrega involuntaria de información, como los pertenecientes al GRI Elicitación y que pueden ser perfectamente concienciados y fortalecidos en esa dirección, trabajando una de las problemáticas que están siendo más dañinas para las compañías.
Sin embargo, esto no significa que debamos desatender otros factores del entorno que pueden afectar al empleado, en muchas ocasiones de manera negativa. Son los llamados estresores, que pueden tener un alto impacto en el comportamiento de una persona, lo que no solo repercute en su bienestar, sino también en el de la gente que le rodea y, en última instancia, en la empresa. Ejemplos de estos estresores pueden ser problemas familiares, problemas con los compañeros de trabajo o problemas financieros; y pueden derivar, entre otras consecuencias, en un incidente insider, ya sea intencionado o no, poniendo en peligro a empleado y empresa.
El conocimiento de las tipologías GRI a las que pertenecemos es fundamental para determinar las recomendaciones necesarias para la mitigación de su riesgo asociado.
Si disponemos de cierta información sobre la psicología de una persona podemos deducir que, frente a los estresores adecuados, puede pasar a una situación de mayor riesgo. Por tanto, es clave disponer de las herramientas que nos ayuden a obtener dicho conocimiento.
Es por esta razón por la que es de suma importancia conocer bien a los trabajadores de la compañía, así como su estado, para poder detectar no solo posibles áreas de mejora, sino otros factores que les puedan estar generando un malestar que, continuado en el tiempo, podría derivar en consecuencias graves tanto para el empleado como para la empresa. Una detección temprana de cualquiera de estos aspectos es fundamental para poder proponer soluciones que fortalezcan al trabajador en sus áreas de mejora y ofrecer el apoyo que pueda necesitar en un determinado momento.
Desde Kymatio se tienen en cuenta múltiples parámetros como la psicología de cada empleado, para identificar las áreas clave que cada trabajador podría mejorar con el fin de reducir los niveles de riesgo. Una vez concretado tanto el grado de riesgo como los aspectos a mejorar, se ofrecen recomendaciones e itinerarios de capacitación que contemplan la entrega de “píldoras de conocimiento” que ayuden no solo al empleado, sino también a la empresa, para poder hacer un esfuerzo conjunto en el fortalecimiento de aquellas áreas susceptibles de mejora que se vayan identificando. En definitiva, Kymatio ofrece una solución preventiva, eficiente y temprana a la problemática del riesgo de incidentes insider en las empresas.
Conclusión
Dentro del ecosistema laboral, las aptitudes de un trabajador y su desempeño no deben ser los únicos aspectos a tener en cuenta desde el punto de vista de la empresa. Es importante conocer cómo es y cómo se encuentra dentro de la misma, de forma que se puedan potenciar todas sus cualidades innatas, fortalecer las áreas en la que hay espacio de mejora y cuidarle, para que se encuentre en un estado óptimo. De esta manera el empleado se verá beneficiado tanto a nivel personal como profesional, y por ende la propia compañía.
Artículo inicialmente publicado por Andrea Zamorano en el blog de Kymatio.
Póngase en contacto con Kymatio para iniciar su programa de prevención de amenazas internas.