Los equipos de seguridad nos enfrentamos con frecuencia a un difícil dilema: ¿cómo supervisar a los usuarios para detectar actividades peligrosas, sin comprometer su privacidad? Compaginar ambos objetivos no es fácil. Hay una delgada línea entre garantizar la seguridad y respetar la confidencialidad de los datos sensibles de los empleados. Sin embargo, alcanzar este equilibrio no solo es posible, sino que es fundamental, y debe formar parte de cualquier programa de gestión de riesgos internos que pretenda ser eficaz y fiable.
Con motivo de la Semana de la Privacidad de los Datos, en este artículo del blog le mostraré las 10 mejores prácticas para desarrollar un programa de gestión de riesgos internos que cubra sus necesidades tanto de seguridad como de privacidad de los datos.
1: Integre a las personas encargadas de la privacidad y los aspectos legales desde el principio
Invite a estas personas a formar parte del proceso desde el día uno. Durante la fase de diseño del programa, contacte con organismos de defensa de la privacidad y comités de trabajadores e implíquelos en el proceso. De esta forma tendrá la seguridad de que los aspectos importantes en materia de privacidad se aborden desde el inicio. Estos comités pueden ofrecer información esencial sobre las consideraciones éticas y legales que se deben tener en cuenta.
Una vez que participen, siga asesorándose con ellos a lo largo del proceso. Es preciso compartir información periódicamente sobre los objetivos, el alcance y los procesos del programa con el fin de fomentar la confianza entre los equipos de seguridad y los responsables de la privacidad. Al demostrar que la privacidad ha sido su prioridad desde el principio, el equipo de gestión de riesgos internos también será la cara visible de la defensa de la privacidad.
Ejemplo
Si va a implementar un programa de gestión de riesgos internos, su responsable de privacidad debe participar en las fases de planificación. De esta forma, garantizará que el programa cumple el RGPD, así como otras normativas sobre protección de datos. Abordar los temas de privacidad de forma proactiva evita que la información de identificación personal se use de forma que pueda infringir las normativas.
2: Defina el ámbito del programa y los umbrales de notificación
Uno de los aspectos fundamentales de todo programa de riesgos internos es establecer límites claros. Es necesario definir lo que constituye una actividad de riesgo, lo que suele estar recogido en las políticas de conducta, cumplimiento de normativas o seguridad. Además, es importante definir claramente qué comportamientos generan un nivel de riesgo concreto, así como en qué nivel estos comportamientos requieren una investigación más a fondo. Esto no solo reduce la probabilidad de extralimitarse, sino que también garantiza que la supervisión sea proporcionada según el riesgo. No olvide que aunque las políticas de la organización se definen y distribuyen a nivel global, los umbrales y herramientas de detección solo deben compartirse con los implicados que los necesiten.
Ejemplo
Supongamos que su programa detecta que hay usuarios que descargan grandes cantidades de datos sensibles. Defina un umbral que solo activa una alerta cuando alguien descarga más de un número concreto de archivos. También pueden definirse umbrales que identifiquen cuándo existe riesgo de dimisión o cuando el empleado incumple un control de seguridad. De esta forma se limita el ámbito y se reducen las probabilidades de que un analista revise comportamientos inocuos. Aunque nunca hay seguridad total de que no ocurra en el ámbito de la mitigación de riesgos. Por eso es tan importante implementar las ocho mejores prácticas.
3: Sea transparente, pero piense bien el mensaje que va a transmitir
En muchas organizaciones, el programa de gestión de riesgos internos está envuelto en un halo de misterio. Desafortunadamente, esto es terreno abonado para los rumores y la desconfianza. Evite este problema comunicándose con transparencia y de manera proactiva siempre que sea posible. De esta forma, enviará un mensaje claro de que el programa coincide con los objetivos y valores fundamentales de su organización.
También es crucial compartir ejemplos del impacto positivo de su programa. Y recuerde a todos los mecanismos que hay en marcha para proteger la privacidad, así como el propósito general del programa. La transparencia ayuda a desmitificar el proceso y da a los empleados la tranquilidad de saber que se respeta su privacidad.
La transparencia es importante, pero la discreción también lo es. Los detalles de las alertas activadas y los datos de las investigaciones no deben salir de los grupos encargados de su gestión. Esto evita que se perjudique el programa o se eludan los controles.
Ejemplo
Cuando el programa comience a mostrar resultados positivos, comparta un caso de estudio internamente, tras eliminar los detalles. Incluya detalles sobre cómo el programa ayudó a detectar una vulneración de la seguridad potencial antes de que escalara y explique el impacto financiero o los daños para la reputación. De esta forma resaltará el valor del programa y ganará confianza de los empleados. Después de todo, con la excepción de los empleados internos maliciosos, la mayoría del personal dedica años de trabajo a sus empresas y quieren protegerlas.
4: Aplique políticas claras de uso compartido
Cuando se trata de detalles sobre su programa de gestión de riesgos internos, debe tener políticas claras sobre lo que es aceptable compartir. Asegúrese de que sus políticas de intercambio de información tienen en cuenta:
- Iniciativas de formación y concienciación
- Ámbito y finalidad del programa
- Qué tecnología se utiliza para dar soporte al programa
- Los resultados de sus análisis
- Detalles sobre la detección y los umbrales, los sujetos de las investigaciones y los transeúntes
- El resultado de las investigaciones formales
Es muy importante no sobreclasificar ni subclasificar los datos. Actuar así puede rodear su programa de un halo de misterio, generando confusión y falta de confianza. También puede crear ineficacia e impedir que se compartan datos importantes con otros partners clave, lo que ayuda a mitigar el riesgo desde varios ángulos.
El objetivo es alcanzar un equilibrio estratégico que potencie la eficacia y legitimidad del programa, salvaguarde la integridad y privacidad de los investigados, preserve la confidencialidad e integridad de las investigaciones en curso y promueva una comunicación oportuna y precisa con las partes interesadas. Definiendo cuidadosamente quién tiene acceso a datos específicos y aplicando esas políticas, se reduce el riesgo de pérdida de datos o uso indebido.
Ejemplo
Si su organización utiliza un sistema de gestión de casos para almacenar datos confidenciales de la investigación, asegúrese de que las personas adecuadas tengan acceso a esa información. Esto les ayudará a satisfacer su papel en la investigación ofreciéndoles una imagen completa. Además, evite que todos los miembros de esos equipos tengan acceso a todos los casos. Otro ejemplo sería en reuniones organizacionales más grandes sobre puntos de referencia o métricas. Asegúrese de que los detalles confidenciales sobre los desencadenantes no se expongan a otros equipos que podrían tener una amenaza activa que, de hecho, pasaría desapercibida para los controles.
5: Utilice tecnología que cumpla las normas de protección de la privacidad
Su pila de tecnología desempeña un papel fundamental en la protección de la privacidad. Por tanto, asegúrese de que sus herramientas se ajustan a los requisitos de privacidad de su organización. Algunas funciones que debe tener en cuenta son:
- Anonimización de usuarios
- Seudonimización
- Captura de imagen limitada a ventanas específicas
- Cifrado
- Controles de acceso personalizables basados en roles
- Supervisión reforzada basada en comportamientos técnicos de alto riesgo
Su tecnología debe ayudarle a detectar actividades de riesgo de forma dinámica. Al mismo tiempo, debe ofrecerte suficiente flexibilidad para que pueda ajustar la profundidad de los datos que recopilados para las investigaciones. Y más importante aún, también debería optimizar la forma de proteger y almacenar los datos. Esto incluye permitirle almacenarlos en determinadas regiones geográficas en función de las normas de privacidad de su organización.
Ejemplo
Si su equipo utiliza una herramienta de supervisión de la seguridad que registre la actividad de los usuarios, asegúrese de que incorpora una función para anonimizar los datos de usuario que recopila. En otras palabras, no debería almacenar el nombre completo o el ID de empleado de un usuario que activa una alerta. En su lugar, debe registrar un identificador único anónimo que permita a los analistas investigar el comportamiento sin exponer información personal sensible.
6: Asegure el flujo de datos y los controles de acceso basados en atributos en todas las herramientas
Los equipos de gestión de riesgos internos suelen recurrir a tecnologías compartidas, como sistemas de administración de información y eventos de seguridad (SIEM) y herramientas de gestión de casos para ayudar a identificar y responder a posibles amenazas. Sin embargo, integrar estas herramientas sin prestar la debida atención al flujo de datos y a los controles de acceso puede dar lugar a la exposición involuntaria de datos sensibles. Por eso es fundamental contar con un plan para proteger los datos que fluyen a través de las distintas herramientas utilizadas en su pila de seguridad.
Para mantener la privacidad de los datos de su organización, es importante asegurarse de que el control de acceso basado en atributos se aplica en todas las herramientas. Esto significa definir niveles de acceso claros para los distintos equipos en función de su rol y de los datos que necesiten.
Ejemplo
Supongamos que su organización utiliza un sistema SIEM para agregar y analizar los registros de seguridad. Los metadatos confidenciales, como la información de identificación personal o los datos privilegiados de Recursos Humanos, no deben introducirse en absoluto en el sistema SIEM. En su lugar, el equipo de gestión de riesgos internos debería tener acceso independiente a ella. Esto les permite investigar el riesgo sin exponer estos datos a los analistas de operaciones de seguridad. Los equipos de operaciones de seguridad solo deben tener acceso a los datos de eventos, registros y alertas que sean necesarios para su rol. Es de vital importancia que no haya visibilidad de los datos sensibles de los usuarios fuera del equipo designado de gestión de riesgos internos al que se confían estos datos.
7: Establecer mecanismos sólidos de supervisión y rendición de cuentas
Los equipos de gestión de riesgos internos también necesitan supervisión. Esto es especialmente cierto cuando se les confía el uso de tecnología que supervisa la actividad de los usuarios. Para evitar cualquier uso indebido, eliminar el sesgo cognitivo del análisis y garantizar la confianza, ponga en marcha un programa de supervisión o "vigilar al vigilante". Esto debe incluir auditorías formales de cualquier persona con acceso a la tecnología, como los que tienen acceso de nivel de administrador que pueden hacer cambios en la política de detección, y los encargados de la clasificación y análisis.
Para garantizar la imparcialidad de las auditorías, estas puede realizarlas un equipo de cumplimiento independiente o por alguien asignado a esa función dentro de su equipo interno de gestión de riesgos internos. Este tipo de supervisión demuestra que existe un compromiso tanto con la privacidad como con la seguridad. Y ayuda a mantener las normas éticas del equipo. Nadie debería estar exento de supervisión. Incluso los niveles de acceso más elevados deben supervisarse para detectar posibles usos indebidos. Recuerde que cualquier incidente cuando se clasifica puede dar lugar a un caso susceptible de presentarse ante los tribunales y debe ser capaz de retener el escrutinio relacionado con las leyes de privacidad del usuario.
Ejemplo
Se realizó un cambio que hizo aflorar un comportamiento de riesgo que no se habría detectado antes del cambio, lo que finalmente condujo al descubrimiento de una infracción. En este caso, debe haber una justificación detallada del cambio, que incluya cuándo y quién lo hizo. Esto ayuda a demostrar que fue un cambio aprobado y no creado para centrarse en la búsqueda de un individuo en particular.
Implemente una sólida supervisión por niveles como parte del proceso de revisión de casos. Esto garantizará que no haya sesgos inconscientes y que los datos comunicados sean objetivos.
También es importante auditar los elementos relacionados con el flujo de trabajo, como las alertas que se corrigen. Esto garantiza que los analistas no abusen de su acceso ni aprueben sus propias alertas generadas, lo que les convertiría de hecho en una excepción a la norma.
8: Gestione los conflictos de intereses con procedimientos claros
Los conflictos de intereses son inevitables en los programas de gestión de riesgos internos. Por eso es esencial disponer de procedimientos escritos para tratarlos. Si un analista está trabajando en un caso que presenta un conflicto potencial, debe haber un proceso de traspaso claro. Esto garantizará que otra persona pueda hacerse cargo de la investigación y que la objetividad o la privacidad no se vean comprometidas. Al definir claramente estos procedimientos, se reduce el riesgo de parcialidad y se garantiza que las investigaciones sigan siendo justas y transparentes.
Ejemplo
Supongamos que un analista investiga el comportamiento sospechoso de un colega al que conoce personalmente. Para eliminar cualquier sesgo, debe existir una política que obligue al analista a pasar inmediatamente la investigación a otro analista o a la dirección. Así se evita que cualquier posible conflicto de intereses empañe la investigación.
9: Incorpore la formación sobre privacidad al desarrollo del equipo
La privacidad no es solo algo que se aplica a la organización, sino que debería ser fundamental para el funcionamiento de su equipo de seguridad. La formación periódica sobre privacidad en relación con la supervisión de la actividad de los usuarios es vital desde esta perspectiva. Garantiza que los analistas comprendan los límites de su acceso, así como sus responsabilidades. Y garantiza que estén formados para ser conscientes de los sesgos cognitivos. Al igual que una política de uso aceptable, estas normas deben aplicarse estrictamente con consecuencias claras y graves en caso de infracción.
Ejemplo
Como parte de la formación anual de su equipo, realice un simulacro en el que un analista deba investigar una posible amenaza interna respetando al mismo tiempo unas estrictas políticas de privacidad. Esto refuerza la idea de que el equipo no debe acceder a los datos innecesariamente y debe mantenerse dentro de los límites de su función.
10: Ajuste continuamente la recopilación de datos para evitar extralimitaciones
Al fin y al cabo, los analistas de riesgos internos solo quieren acceder a los datos que necesitan para hacer su trabajo, reducir los riesgos y proteger a la organización. Por naturaleza, se trata de datos internos de los empleados. Sin embargo, es importante revisar y perfeccionar continuamente las prácticas de supervisión para garantizar que no se recopilan datos innecesarios. Por ejemplo, las categorías sensibles, como los documentos médicos o jurídicos, deben excluirse explícitamente de la supervisión para evitar cualquier violación involuntaria de la privacidad.
Ejemplo
Si su tecnología comienza a registrar cantidades excesivas de datos de los calendarios personales o notas de reuniones de los empleados, debido a un cambio aprobado, revise sus reglas de supervisión y ajuste el alcance para que sea lo menos invasivo posible, al tiempo que garantiza que la capacidad de mitigar el riesgo para la organización pueda ser efectiva. Puede ser una buena idea recabar la opinión de las principales partes interesadas a las que se ha hecho referencia anteriormente.
Es posible un enfoque equilibrado
Tener en cuenta la privacidad del usuario a la vez que se supervisan las actividades de riesgo no tiene por qué ser una disyuntiva. Después de todo, los programas de gestión de riesgos internos también intentan identificar el uso indebido o la exposición de los datos de los usuarios por parte de los empleados internos, y se asociarán con los departamentos de privacidad y RR. HH. para poner remedio. Es parte integrante de la defensa de los trabajadores.
Si sigue estas prácticas recomendadas, puede estar seguro de que está creando un programa que equilibra eficazmente las necesidades de seguridad y privacidad de los datos. El objetivo común es crear un entorno más seguro en el que se respete la intimidad de los empleados y se reduzcan los riesgos internos.
Más información
Más información sobre las mejores prácticas para trabajar de forma transversal en programas de riesgo de información privilegiada centrados en las personas. Más información sobre las funciones de privacidad y control de acceso para Proofpoint ITM.
