En últimas fechas ha tomado relevancia considerar el comportamiento riesgoso dentro de los esquemas de manejo de amenazas internas. Los directivos de Seguridad están presionados por demostrar el valor de sus inversiones. Qué mejor que matando dos pájaros de un tiro: cumplir con regulaciones y disminuir los riesgos de reputación.
Desde hace unos años surgió el concepto del comportamiento riesgoso, especialmente en torno a las instituciones financieras. La conducta de riesgo ha sido definida por la Financial Conduct Authority (FCA) del Reino Unido como “el riesgo de que el comportamiento de las empresas resulte en malos resultados para los clientes”. El comportamiento riesgoso ha evolucionado a lo largo de los años, de ser un riesgo subestimado y desatendido a uno de los principales riesgos a los que se enfrentan los bancos. En fecha más reciente, el concepto se ha extendido a cualquier tipo de empresa y se suele incluir en los programas de monitoreo de amenazas internas.
Para aterrizar el concepto de comportamiento o conducta riesgoso conviene referirse al empleado, a quien se confía la responsabilidad de impulsar resultados positivos tanto para la institución como para los clientes. La mayoría de los empleados cumplen con estas responsabilidades de buena fe. Sin embargo, la historia ha demostrado numerosos ejemplos en sentido contrario. En esos casos, el empleado se desvió de la creación de valor a la contribución al riesgo, es decir, su conducta presentaba un riesgo para la organización al dañar al cliente, al mercado y a la reputación de la institución.
En respuesta, muchos líderes de seguridad proponen desarrollar o fortalecer sus programas Insider Threat. En esta situación, un colega de gestión de riesgos también podría proponer tomar medidas para fortalecer su programa de “Comportamiento riesgoso”. Ambas funciones se encargan de proteger la organización, y ambas se centran en el empleado para reducir la exposición al riesgo. En ocasiones, estos esfuerzos corren en paralelo y en silos, cuando en realidad se trata de esfuerzos complementarios que, cuando se combinan, pueden ser más eficaces y conducir hacia su objetivo compartido: proteger a las instituciones y a sus clientes.
La amenaza interna bajo otra lente
Para decirlo rápido, los CSO y CISO deben tomar la iniciativa reformulando el problema de la amenaza interna través de la lente del comportamiento riesgoso.
De acuerdo con con Homayun Yaqub, estratega de Seguridad senior de Forcepoint, las medidas a tomar son las siguientes:
- Redefinir la unidad de medida: los empleados (es decir, los usuarios o los insiders) no pueden ser vistos como una amenaza inherente a la institución. Al centrar el enfoque en la comprensión de la conducta, en lugar de medir las violaciones y los eventos de las políticas, los líderes reconocen la naturaleza dinámica de las actividades de los empleados que se mueven entre la creación de valor y la contribución al riesgo.
- Mejorar la cobertura de recopilación: aproveche las capacidades existentes de monitoreo de la actividad del usuario (UAM, por sus siglas en inglés) para comprender de forma continua las acciones de los empleados y el impacto potencial en el negocio. Colabore estrechamente con los administradores de riesgos para identificar nuevas fuentes de datos que normalmente están fuera de la seguridad y que pueden ayudar a construir una comprensión más completa del empleado. Esto puede incluir datos derivados de aplicaciones empresariales, otras fuentes de monitoreo como la vigilancia de los intercambios, así como datos de rendimiento del área de recursos humanos.
- Comprender mejor el riesgo a través del contexto: aproveche los análisis cuidadosamente diseñados para correlacionar y establecer relaciones significativas entre puntos de datos dispares. Esto permite a las instituciones aumentar su comprensión mediante la aparición de indicadores de riesgo en su punto de detección más temprano. Realice inversiones en soluciones de análisis que investiguen ampliamente el comportamiento humano y los datos fraudulentos de actividad/mala conducta, permitiendo indicadores de “miga de pan” y alerta temprana que generalmente solo se encuentran a través de actividades de investigación posteriores al incidente.
- Pasar de una postura reactiva a una postura proactiva: instrumentar controles basados en la comprensión del riesgo a nivel de empleado individual. Los líderes de seguridad deben automatizar la aplicación (y reducción) gradual de las políticas de seguridad en todo el entorno, al tiempo que permiten a los administradores de riesgos en la primera línea de defensa tomar decisiones más informadas.
¿Quiénes deben involucrarse?
Antes de concluir, conviene considerar a los actores interesados para garantizar el buen curso de un programa de gestión de comportamiento riesgoso. En primer lugar, Yaqub identifica al CISO, a quien recomienda integrar el programa de amenazas internas dentro del framework de gestión de comportamientos riesgosos. No olvidarse de contar con un padrino del lado de los ejecutivos de negocio y asegurar que la inversión en seguridad y los procesos de negocios estén alienados de manera congruente.
En segundo lugar se encuentra el encargado del cumplimiento de normas, a quien pertenece el marco de referencia del comportamiento riesgoso. Los Security Masters deben trabajar proactiva y colaborativamente con compliance y las unidades de negocio para determinar los roles que añadan valor a las líneas operativas de defensa. Por último, el encargado del área de Riesgos será el responsable de la mitigación completa de la posición de riesgo.
Como dice Yaqub, a los ejecutivos de Seguridad se les está exigiendo desarrollar tácticas claras para justificar sus inversiones a través de muestras evidentes de valor al negocio a lo largo de la organización. Una forma es mapear las iniciativas de seguridad en la más amplia estrategia de gestión de comportamientos riesgosos, que no solo es valiosa para la organización sino también para los entes regulatorios que la supervisan.
Para profundizar sobre este tema, lo invito a acompañarme el próximo 22 de septiembre a las 10.00 (CDT) al webinar “Gestión del ciberriesgo: Nuevos indicadores de comportamientos riesgosos entre los empleados”. Regístrese sin costo aquí.