Los primeros 90 días de un profesional en una empresa sirven al empleador para cerciorarse de que no se han cometido errores. Pero este aspecto no solo afecta a cuestiones laborales. La actitud frente a la ciberseguridad también está en cuestión. Un trabajador recién incorporado a una compañía lleva aparejado un alto riesgo inicial, según explicado el informe realizado por el equipo de investigación de amenazas de Proofpoint.
Los expertos en ciberseguridad recomiendan mostrar cierta cautela ante los nuevos empleados, aunque no es bueno temerse siempre lo peor. Uno de los aspectos fundamentales que deben ser evaluados es el comportamiento del “novato” en lo referido a información privilegiada.
Brechas creadas desde dentro
Debe cuestionarse si se ha dejado alguna puerta abierta que permita robar estos datos o provocar algún daño a la organización. De hecho, no son pocos los incidentes causados por personas malintencionadas que se han abierto paso en una empresa con el objetivo, mediante un proceso de contratación, de conseguir información.
Los profesionales de la seguridad de la información deben mantener una actitud de alerta por si las cosas no suceden según lo previsto. En un contexto en el que han crecido las amenazas internas y la pérdida de datos provocada por las personas, más CISOs que nunca (86%) consideran el riesgo humano como una preocupación clave en materia de ciberseguridad en los próximos dos años.
El informe Data Loss Landscape de Proofpoint señala que el 17% de los encuestados en España afirmaron que detrás de incidentes de pérdidas de datos en organizaciones había personas con información privilegiada, como empleados, proveedores o personas con malas intenciones. Pero muchas de ellas son amenazas internas: más de dos tercios (67%) de los empleados españoles ponen en riesgo a sus organizaciones de forma consciente.
Formación a destiempo
En tiempos pretéritos, cuando una persona se iba a incorporar a una empresa, recibía formación sobre el cumplimiento de la normativa y el sistema técnico antes de ocupar oficialmente el puesto de trabajo. Sin embargo, en los entornos de trabajo actuales, donde reina la escasez de personal, los recién contratados suelen trabajar de inmediato. Incluso la formación impartido tiene lugar cuando han pasado de dos a cuatro semanas y ya tienen acceso a datos potencialmente sensibles. No extraña, por tanto, que la pérdida accidental de datos y el sabotaje del sistema sean dos de los riesgos internos más comunes en este etapa.
Otro foco de riesgo está vinculado al desarrollo de expectativas diferentes sobre cómo tratar los datos. Es posible que el usuario en su organización anterior no haya tenido los mismos requisitos de privacidad y cumplimiento que los que ahora debe cumplir en su nuevo empleo. O que sus patrones de comportamiento vayan en dirección contraria a la naturaleza de su actual empresa.
Un ejemplo: en centros de enseñanza se valora la colaboración, el intercambio de información y el aprendizaje colectivo, pero en un sector tan regulado como los servicios financieros la mentalidad es la contraria. Se han dado casos importantes de filtración de datos, debido a que los contratados procedían de trabajos en los que las políticas y los procedimientos eran mucho menos estrictos o controlados.