Sin embargo las organizaciones que hacen negocios en el mundo conectado y centrado en los datos de hoy pueden añadir una más a la lista: La amenaza interna.
Como se mencionó en el reporte anual sobre amenazas globales de Forcepoint Security Labs lanzado recientemente, las amenazas internas se refieren a los incidentes que se originan o cuentan con la cooperación (voluntaria o involuntaria) de fuentes que se encuentran dentro de la organización. Y las brechas provocadas por este tipo de amenazas siguen en aumento.
Fue en 2007 cuando viví y experimenté de primera mano una amenaza interna; en ese entonces un empleado de la compañía de Internet para la que yo trabajaba robó información de más de 90 millones de cuentas, la que vendió a un spammer. Este incidente no sólo cambió la manera de llevar a cabo los procesos y de implementar la tecnología de la compañía, sino que también cambió nuestra cultura de ser una compañía abierta. Aun así a pesar de experimentar un incidente interno tan de cerca seguía pareciéndome algo que no era tan real. Eso fue hasta que un ex empleado del Departamento de Energía de los Estados Unidos fue declarado culpable por un ataque de spear phishing que lanzó contra sus compañeros de trabajo para obtener un beneficio personal. Entonces me comencé a preguntar si un empleado con mucho tiempo en la organización y que es muy apreciado cuenta con el más alto nivel de libertad para hacer esto, ¿Quién más era capaz de hacerlo? ¿Estos “cisnes negros” – eventos aleatorios, inesperados y de alto impacto –son realmente raros o improbables, o son más comunes de lo que podríamos imaginar?
Posteriormente leí un artículo titulado “Seven Profiles of Highly Risky Insiders” (Los Siete Perfiles de los Empleados de Alto Riesgo) escrito por mi colega Bob Hansmann. En él, Bob habla de los empleados no maliciosos –el esperado “cisne blanco” en contraste con la rareza percibida del “cisne negro”– quienes cometen errores; habla de los sabelotodo que creen que las políticas de seguridad son para otras personas; así como de aquellos bien intencionados que buscan la conveniencia pero que ignoran los procesos para hacer el trabajo lo más rápidamente posible.
Cuando le hablo a los líderes de seguridad sobre esos siete perfiles, pregunto si se han encontrado con estos tipos de empleados. No resulta sorprendente que la respuesta sea que sí. Todas las organizaciones tienen “cisnes negros” y el daño de la negligencia involuntaria va del mínimo (como multas, la interrupción limitada del negocio) hasta el severo (como pérdidas financieras, demandas, reputación afectada).
En el mundo de la seguridad cibernética hay un proverbio bastante conocido que dice “Existen dos tipos de compañías: Las que han sido hackeadas y las que no saben que han sido hackeadas”. Tal vez para las amenazas internas sea, “Existen dos tipos de compañías, las que saben que la amenaza interna es real y las que creen que sólo le sucede a otras empresas”.
Cuando se originó la frase “cisne negro” se presumía que los cisnes negros no existían; el término simbolizaba algo que era imposible. Cuando eventualmente se descubrieron el término se transformó para expresar un evento atípico que en retrospectiva era más habitual de lo que se imaginó en un principio. Desafortunadamente justificar un evento en retrospectiva como “esperado” lleva a no lograr entender cómo ocurrió dicho evento y qué vulnerabilidades lo provocaron, lo que prepara el escenario para que vuelva a ocurrir.
Actualmente, al igual que la muerte y los impuestos, la amenaza interna es inevitable. Sin embargo, al igual que la muerte y los impuestos, la realidad siempre nos sorprende. Aprender de los eventos de seguridad cibernética tipo “cisnes negros” es tan importante como prepararse para los más comunes. No se pierda la oportunidad de aprender de los incidentes que podrían mejorar en definitiva su postura de seguridad, de lo contrario los “cisnes negros” podrían volverse en su contra.
Por Mark Goldstein, estratega senior de seguridad de Forcepoint