Cuando pensamos en usuarios de riesgo, lo primero que nos viene a la mente no son las nuevas contrataciones. Aunque la llegada de nuevos compañeros es bienvenida para ayudarnos a emprender nuevos proyectos empresariales y gestionar más fácilmente la carga de trabajo, al principio no está exenta de riesgos. No en vano, muchas empresas consideran los tres primeros meses de trabajo de un nuevo empleado como un período de prueba, que les permite asegurarse de que su elección fue la correcta.
Ahora que celebramos el mes para la concienciación sobre las amenazas internas, veamos por qué los nuevos empleados suponen un riesgo tan alto para sus empleadores desde el punto de vista de las amenazas internas.
Vigilancia de las señales de alerta
Uno de los puntos más importantes que hay que tener en cuenta al evaluar a un nuevo empleado es la amenaza interna que podría suponer. Dicho de otra forma, ¿ha venido esta persona para robar nuestros datos o perjudicar a nuestra organización? No tenemos por qué imaginarnos lo peor, pero sí ser precavidos. Ha habido varios incidentes en los que usuarios internos malintencionados participaban en un proceso de contratación con esta única intención.
Algunas personas intentan ser contratadas por las empresas en puestos subalternos o de nivel medio con el único objetivo de robar datos confidenciales. De hecho, es relativamente fácil. Una persona que busque un empleo de este tipo puede encontrar fácilmente consejos sobre cómo conseguirlo sin tener todas las cualificaciones necesarias. Aunque este consejo puede ser útil para los auténticos solicitantes de empleo, puede suponer un riesgo para las empresas que necesitan protegerse de los ciberdelincuentes.
Los usuarios internos malintencionados que carecen de las habilidades necesarias para un puesto generalmente intentarán alcanzar sus objetivos rápidamente antes de que su incompetencia se haga demasiado evidente.
Los riesgos del retrasar la formación
Veamos ahora las razones por las que una mayor visibilidad y supervisión son esenciales para descubrir comportamientos internos peligrosos durante los tres primeros meses de un nuevo contratado.
Por regla general, cuando una empresa contrata a una persona, ésta pasa por un período de incorporación durante el cual recibe una serie de cursos de formación (sobre conformidad, uso adecuado y sistema técnico) antes de asumir oficialmente sus funciones.
Pero en los entornos laborales actuales, a menudo faltos de personal, no es infrecuente que a los recién contratados se les ponga directamente a trabajar. Reciben su formación en un plazo de dos a cuatro semanas, aunque ya estén trabajando y tengan acceso a datos potencialmente sensibles. Así que no es de extrañar que la pérdida accidental de datos y el sabotaje de sistemas sean los dos riesgos internos más frecuentes en muchas empresas durante este período.
Durante el período de prueba de tres meses, es esencial que su equipo aumente la visibilidad y la supervisión para garantizar que el nuevo empleado no muestre un comportamiento de riesgo o malintencionado. Esto le ayuda a mitigar el riesgo asociado a las amenazas internas.
Riesgos asociados a los viejos hábitos
Existe otra fuente de riesgo asociada a las nuevas contrataciones: las diferentes expectativas en términos de manejo y gestión de datos. Los requisitos de confidencialidad y cumplimiento pueden diferir entre la empresa anterior del nuevo empleado y su nuevo empleador.
Los nuevos empleados recién salidos de la universidad son un ejemplo perfecto. En la enseñanza superior se hace hincapié y se valora la colaboración, el intercambio de información y el aprendizaje colectivo. Estas prácticas se adaptan perfectamente a un entorno que hace hincapié en el desarrollo y el intercambio de conocimientos. Sin embargo, en sectores muy regulados, como los servicios financieros, ocurre lo contrario. En consecuencia, el comportamiento adoptado por los recién contratados en su nueva función puede ser contrario a la naturaleza de una empresa comercial.
También hemos visto otros incidentes de filtración de datos en los que estaban implicadas personas que desempeñaban funciones similares en el mismo sector, pero en una empresa con políticas y procedimientos menos estrictos o controlados que su nuevo empleador. Por ejemplo, una empresa puede invertir mucho en un producto de terceros para compartir en la nube, mientras que otra puede dar preferencia a un sistema centralizado que utilice tecnologías de Microsoft para compartir datos.
En resumen, es demasiado fácil que los empleados vuelvan a caer en viejos hábitos cuando se trata de gestionar y controlar los datos al pasar de una empresa a otra.
Aprender a gestionar los riesgos internos
Cuando llega un nuevo empleado, solo podemos esperar que sus tres primeros meses vayan bien y que todo el mundo esté contento. Sin embargo, como profesionales de la seguridad de la información, debemos estar preparados para reaccionar en caso de que las cosas no salgan según lo previsto.
Si desea obtener más información sobre cómo gestionar estas situaciones de alto riesgo, Proofpoint puede ayudarle. Durante el mes para la concienciación sobre las amenazas internas, Proofpoint le invita a participar en nuestra serie de webinars sobre los riesgos internos. Descubra por qué es tan importante contar con un programa eficaz de gestión de amenazas internas, así como consejos para mejorar su programa actual.
¿Nunca ha oído hablar de la gestión de amenazas internas? Póngase al día con nuestro paquete de primeros pasos con Proofpoint Insider Threat Management.