Cómo gestionar los riesgos internos en un entorno de trabajo híbrido

Las oficinas están comenzando a reabrir, pero el trabajo híbrido sigue siendo una realidad para muchas organizaciones. Y aunque el flujo de cambios laborales apodado la Gran Reorganización se produce principalmente entre los trabajadores de primera línea, esas organizaciones todavía están lidiando con nuevos empleados que aún no conocen los procesos de la empresa, ya sea que se incorporen ahora sin conocer personalmente a sus colegas o que vayan a la oficina por primera vez.

Las empresas recurrieron a la tecnología para el trabajo remoto y híbrido, pero el enfoque inicial se centró en la productividad y en apoyar a los empleados, con frecuencia los equipos de IT volvieron a considerar la seguridad y el cumplimiento más tarde, después de la urgencia inicial de pasar a trabajar de forma remota. Además de proteger los dispositivos utilizados en casa para el trabajo de los atacantes, las organizaciones querían realizar auditorías y prevenir la pérdida de datos para asegurarse de que los empleados sigan los procesos correctos cuando trabajen con datos.

El riesgo interno no se trata solo de empleados descontentos que se llevan datos confidenciales cuando se van. Más de la mitad de las amenazas internas son típicamente involuntarias, dijo Alym Rayani, gerente general de Cumplimiento y Privacidad en Microsoft. Casi tres cuartas partes de las organizaciones en un estudio de CMU tuvieron más de cinco incidentes maliciosos internos en 2020 (69%) - pero aún más tuvieron al menos la misma cantidad de problemas internos no intencionales donde los datos o el acceso se utilizaron de forma inadvertida.

El cambiante entorno de trabajo solo agrava el problema, sugirió Rayani. "En cumplimiento, se trata de gestionar el cambio, porque nada es estático, pero esto es más cambio del que creo que nadie está acostumbrado".

"Hay empleados que se van; también hay empleados que se incorporan. Los nuevos empleados que no entienden todos los protocolos o el manual y todo lo que implica unirse a la organización pueden hacer inadvertidamente cosas que crean riesgos, y sabes, no lo hicieron a propósito", señaló Rayani.

"En mi equipo, hemos contratado a tres personas nuevas en el último mes, y están aprendiendo cómo manejar información confidencial". El grupo de Rayani tiene acceso a información utilizada para la presentación de informes financieros de Microsoft, que está sujeto a varias regulaciones. "En realidad, acabo de enviar una nota a uno de mis compañeros diciendo: 'Sigamos este protocolo automático que tenemos para cómo estos usuarios obtienen acceso a esta información, cómo se marca'. Y no es porque esos usuarios sean maliciosos, es porque están aprendiendo cómo Microsoft trata estos datos".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Ayudar, no obstaculizar
  2. Estableciendo prioridades

Ayudar, no obstaculizar

La gestión del riesgo interno consiste en poder detectar, comprender y actuar sobre las posibles amenazas desde dentro de su organización sin reducir la productividad o intimidar a los empleados que cometen errores. En su lugar, desea utilizar los incidentes para educar a los usuarios y ayudarlos a cumplir con las políticas. Para hacer eso, debe saber qué es normal para su organización y sus empleados. ¿Es sospechoso si alguien accede a miles de archivos muy rápidamente? Eso depende de si son archivos de datos de clientes o archivos en un repositorio de desarrolladores, donde trabajar con código puede significar copiar muchos archivos automáticamente, y depende de si la persona que hace eso es un desarrollador.

La función de gestión del riesgo interno en Microsoft 365 E5 (disponible como complemento para suscripciones E3) utiliza el aprendizaje automático para buscar este tipo de patrones, incluyendo secuencias de comportamiento que pueden ser sutiles, como cambiar la etiqueta de sensibilidad en un documento.

"Si alguien baja el nivel de confidencialidad de un documento a público, podría hacerlo porque luego puede transferir ese documento en secreto. Puede que no sea obvio hacia dónde se dirige eso, pero cuando comienzas a combinar esa señal con otras cosas que están sucediendo, entonces puedes entender cómo puede ser esa correlación", explicó.

Eso podría ser una señal de que alguien está enviando información fuera de la empresa (algo a lo que Microsoft se refiere como "exfiltración acumulativa") - o simplemente podría estar subiéndolo a un servicio de almacenamiento en la nube para poder consultarlo cuando esté trabajando desde casa o vaya a una cita médica. "Si los usuarios están trabajando de manera diferente, y te adaptes a eso, entonces puedes entender qué sucede cuando se reduce el nivel de un documento y luego se carga en un sitio web".

En lugar de evitar que los usuarios hagan eso y bloquearlos potencialmente para que no puedan hacer su trabajo, es posible que desee orientarlos hacia mejores formas de trabajar. "Lo mejor que puedes hacer es enseñar al usuario en el momento. Si hacen algo así, podrías enviar automáticamente un correo electrónico con un enlace al manual o un enlace a un entrenamiento o un consejo. Puedes usar situaciones en tiempo real para poner al día a tu organización sobre cómo manejar los datos correctamente".

Una forma de comprender el comportamiento del usuario sin reducir la productividad es pedirles a los usuarios que expliquen por qué están haciendo algo. Cuando cambias la etiqueta de un documento de confidencial a público, puede ser por comodidad, o puede ser porque se anunciará un proyecto secreto como un nuevo producto y quieres que las personas puedan obtener los detalles.

Cómo proteger tu computadora de los virus: métodos y consejos

Las organizaciones pueden establecer políticas para gestionar qué documentos pueden recibir una nueva etiqueta y por qué. "Si la organización configura el portal de protección de la información para requerir una justificación, el usuario puede poner 'Quería tener este documento para consultarlo en mi teléfono mientras voy al médico'. Pero digamos que tienes información relacionada con la presentación de informes a la SEC, y es un riesgo muy alto, puedes decir que nunca quiero que algo etiquetado de esta manera se pueda rebajar y, desafortunadamente, ese usuario tendrá que hacerlo de otra manera porque es demasiado sensible".

Los patrones también pueden ser estacionales: los empleados de su equipo de contabilidad pueden revisar los datos financieros clave solo una vez al trimestre o incluso una vez al año. Rayani alienta a las organizaciones a activar la Gestión de Riesgos Internos incluso si no planean usarla de inmediato, porque inicialmente el sistema solo busca en los últimos diez días de datos. “Permite que el sistema aprenda con el tiempo y haga reconocimiento de patrones, y aprenda qué es lo que está fuera de lo normal durante un período más largo de tiempo.”

También puede crear políticas basadas en reglas cuando el sistema detecta un comportamiento que parece inusual pero que es uno de esos patrones estacionales, para evitar obtener el mismo falso positivo cada año.

Estableciendo prioridades

Cuando los hábitos de trabajo aún están en flujo, el aprendizaje automático hace que el sistema aprenda lo que es normal a medida que sucede, para que sepa cuándo el comportamiento es realmente inusual en lugar de simplemente desconocido. "Tenemos una nueva capacidad para identificar y alertar aún más cuando el modelo de aprendizaje automático dice 'las actividades de este usuario en particular son superiores al promedio para su organización'. Y, por supuesto, esa organización puede estar cambiando con el tiempo, a medida que el comportamiento de los usuarios cambia mientras se integran y se despiden”, comentó.

“Lo que realmente importa es lo que está en relación con lo que se considera la norma para su organización y cuándo se dice 'OK, esto está tan lejos de la norma estadística para mi organización que realmente necesito clasificar esto y actuar rápidamente al respecto'”.

También aprende de cómo los analistas de seguridad crean y clasifican los resultados. Esto es importante para evitar los falsos positivos que hacen perder tiempo a su equipo de seguridad y cumplimiento. "¿Cómo podemos ayudar a lo que típicamente es un pequeño grupo de analistas o investigadores a identificar y clasificar de manera más efectiva esos riesgos, es decir, llegar a los correctos y hacerlo más rápidamente?"

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

La gestión del riesgo interno de Microsoft 365 se basa en las mismas técnicas que SharePoint utiliza para clasificar automáticamente los documentos como sensibles o confidenciales. Estos clasificadores entrenables aprenden cómo los usuarios clasifican los documentos y necesitan alrededor de 30 documentos para crear un patrón a seguir.

Los clientes de servicios financieros ya utilizan esos modelos de aprendizaje automático en Microsoft 365 para cumplir con los requisitos de cumplimiento de comunicaciones, monitoreando las llamadas telefónicas internas y las conversaciones entre corredores y distribuidores para prevenir el comercio interno. Otras industrias reguladas lo utilizan para proteger activos, detectar violaciones del código de conducta como compartir contenido inapropiado y en industrias como la salud, donde se requiere realizar un seguimiento de las quejas de los clientes.

"Si hay algo mal con un medicamento, o se encuentra algo en un producto, están obligados a rastrear y responder a esas quejas", explicó Rayani. "Tenemos un clasificador de quejas de clientes que encuentra esas posibles quejas y muestra coincidencias para que puedan procesar y registrar oficialmente esas cosas para sus requisitos regulatorios".

Pero incluso las industrias que no tienen requisitos de cumplimiento y regulación ahora pueden utilizar el cumplimiento de comunicaciones para mejorar la satisfacción del cliente. “Lo están adoptando para asegurarse de hacer lo correcto por sus clientes. Pueden identificar esas quejas de los clientes en el chat y otras situaciones más fácilmente, manejarlas y hacer que sus clientes estén más contentos y mejorar su marca”.

Eso es diferente al análisis de sentimiento habitual que analiza el tono del lenguaje para agregar contexto. Aquí, el clasificador analiza las palabras que las personas usan, ya sea como "el sello estaba dañado" o "mi medicamento estaba contaminado" u otras frases que esperas que usen los clientes insatisfechos.

Dejar a tus clientes insatisfechos es un problema diferente a los usuarios que exponen datos, accidentalmente o a propósito, pero sigue siendo un riesgo que algunas organizaciones quieren gestionar, dijo Rayani. Al igual que con la gestión del riesgo interno más familiar, el objetivo es dar a los clientes la flexibilidad para monitorear lo que les importa.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

"Pueden determinar sus propios umbrales de riesgo, sus prioridades de cumplimiento, sus objetivos. Algunos de nuestros clientes solo intentan cumplir con requisitos regulatorios obligatorios. Otros quieren usar estas herramientas para mantener una cultura empresarial, y otros quieren optimizar la experiencia del cliente, o todo eso a la vez".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo gestionar los riesgos internos en un entorno de trabajo híbrido , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.