X-twitter
Buscar
Cerrar este cuadro de búsqueda.

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín
  • Noticias
  • 3 minutos de lectura

5 movimientos para gestionar eficazmente el riesgo de amenazas internas

El riesgo de amenazas internas ha ganado relevancia entre las prioridades de seguridad de las empresas, convirtiéndose en una de las mayores preocupaciones tanto para los CISOs como, de manera creciente, para la alta dirección. Este cambio es positivo, ya que el respaldo de los directivos permite diseñar e implementar planes de gestión de riesgos internos adaptados a las necesidades específicas de protección de la organización.

Los incidentes de este tipo no son improbables. Por ejemplo, un empleado que es contratado por la competencia podría descargar información estratégica sensible antes de abandonar la empresa. Este tipo de acciones podría comprometer listas de clientes o proveedores, datos confidenciales o incluso la propiedad intelectual, poniendo en riesgo la competitividad y la integridad de la organización.

Según Proofpoint, en 2024 el 46% de los responsables de seguridad declaró haber tenido que hacer frente a una pérdida de datos confidenciales en los últimos 12 meses; y de ellos, el 70% coincidió en que la salida de empleados de la organización contribuyó a esa pérdida. A pesar de ello, el 82% de los CISOs cree que tiene controles adecuados para proteger sus datos.

Una gestión eficaz de riesgos internos supone pasar a un enfoque proactivo, con el que se pueden prevenir los incidentes en vez de reaccionar ante ellos; tener una visión más clara de los usuarios y los datos en riesgo para asegurarse de los controles de seguridad existentes con los que protegerlos; y mejorar los tiempos de respuesta con procedimientos definidos.

Poner en marcha un nuevo programa de gestión de riesgos internos, o mejorar uno ya existente, requiere un enfoque de la gestión de riesgos internos, estratégico, preventivo e integrado en la visión empresarial, no sólo para poder responder adecuadamente a cualquier amenaza, más o menos explícita, sino también para contribuir a que la empresa sea más eficiente y productiva, reduciendo cualquier posible interrupción.

El equipo de investigación de amenazas de Proofpoint establece estas cinco recomendaciones para definir un plan eficaz:

  • Formar equipo interfuncional con el nombramiento además de un responsable ejecutivo y un comité directivo. La gestión del riesgo de información privilegiada debe considerarse una responsabilidad de toda la empresa, incluidos los departamentos jurídico, de recursos humanos, de cumplimiento normativo, responsables, ejecutivos e incluso el consejo de administración. Todos deben trabajar juntos para lograr el objetivo común de reducir el riesgo organizativo, siendo crucial contar con el apoyo ejecutivo interno que promueva el programa y ayude a superar los bloqueos.
  • Definir objetivos para ver qué hace vulnerable a la organización y evitar que un riesgo interno se convierta en una verdadera amenaza. Esto pasa por identificar a las personas internas en situación de riesgos y los datos sensibles. Hasta que estas cosas no queden claras no se podrán proteger. También hay que garantizar el cumplimiento de los requisitos de cumplimiento, tratando encontrar el equilibrio entre necesidades empresariales, controles de seguridad y productividad de los usuarios.
  • Comprender desde qué situación parte la organización antes de planificar cualquier programa contra el riesgo de información privilegiada. Evaluar las capacidades actuales de detección, respuesta, análisis y prevención; las inversiones existentes y el nivel de eficacia del programa contra el riesgo de información privilegiada.
  • Pasar a la acción con un proceso de seguridad operativa que permita a los analistas reaccionar, realizar una evaluación real del riesgo y, a continuación, escalar, siguiendo unos canales predefinidos. Unas guías operativas claramente definidas pueden ayudar a orientar las investigaciones y las acciones de mitigación. Asimismo, es esencial definir el proceso de escalado en colaboración con recursos humanos, departamentos jurídicos, cumplimiento, liderazgo ejecutivo y la propia empresa; y que la base de usuarios pertinente acepte la supervisión de los comportamientos de riesgo.
  • Repetir periódicamente los procesos del programa de riesgos internos y hacerlo evolucionar acorde a las necesidades la organización: desarrollar objetivos intencionadamente y no de manera reactiva, identificar métricas basadas en los pasos acordados y en el crecimiento del programa, colaborar con las partes interesadas para cumplir y ampliar el programa, así como automatizar la prevención y la corrección para que los analistas ganen eficacia y ahorren tiempo.
Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Angel

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Rusia intensifica su plan de aislamiento digital: pruebas para bloquear VPN y crear su propia Internet

Telefónica y Orange lideran los mercados de telecomunicaciones en España, con importantes cambios en las cuotas de mercado

5 movimientos para gestionar eficazmente el riesgo de amenazas internas

Canadá apuesta por liderar la inteligencia artificial con una inversión de 2.000 millones de dólares

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.