Un "Insider", es aquel empleado de una entidad empresarial que dispone de acceso directo a información relevante, privilegiada y/o sensible dado su cargo/posición, de tal manera que posee la capacidad de manejar fácilmente operaciones y decisiones internas. Su connotación radica en la amenaza que estos representan, puesto que se utiliza para hacer referencia a socios, contratistas o cualquier usuario que tenga acceso autorizado a los sistemas y datos confidenciales de la empresa, pudiendo poner en riesgo ya sea de forma intencional (sobornos previos o por la iniciativa propia) o accidental (manejo descuidado de la información) la integridad y seguridad de la industria.

¿Cómo mitigar este dilema?

Para disminuir o erradicar este riesgo y el impacto legal e integral de privacidad, de una eventual exposición de los datos, se aplican restricciones a los usuarios encargados de manejar información y operaciones significativas, protegiendo así, los sistemas de la organización. Para ello, se limita el acceso a la información mediante Control de Acceso, Autenticación de Multifactor (MFA) y uso de contraseñas robustas, Monitoreo de comportamientos sospechosos y Registro de actividades para su detección. Además, se puede complementar con capacitación para así mejorar las practicas de los empleados en ámbitos ciberseguridad y logren identificar de forma eficiente y eficaz posibles amenazas.

Por otra parte, realizar revisiones de Ciberseguridad en la Red Interna permitirá asegurar tanto la infraestructura organizacional como los datos de la entidad, detectando vulnerabilidades en periodos acotados y eficientes, logrando identificarlos y corregirlos antes de que sean explotados por los ciberatacantes a través de la implementación de pruebas de penetración, manteniendo una mejora continua mediante la actualización de antivirus, softwares y planes de acción, cumpliendo de forma regulada con las normativas y estándares de seguridad estipulados, protegiendo así, los activos de la empresa y su prestigio. Este ultimo puede ser complementado con Auditorias de Seguridad, revisando políticas y procedimientos adecuados para evaluar riesgos asociados a saboteadores internos, infiltrados o simplemente empleados desleales, nefastos o imprudentes.

Caso de estudio: Edward Snowden - NSA (2013)

Este acontecimiento en particular, ha tenido diversos puntos de vista e interpretaciones, puesto que Snowden, ex asistente técnico de la CIA, revela en diversos medios de comunicación (británica principalmente, "The Guardian"), información altamente clasificada sobre programas de vigilancia masiva realizados por la NSA, mientras desempeñaba funciones allí como contratista de TI (tecnologías de la información), exponiendo la adquisición por parte del "gobierno", de registros telefónicos, correos, fotografías, llamadas de voz y contraseñas de millones de estadounidenses contenidos en las principales empresas de medios digitales (internet/RRSS) de USA, provocando la discordia entre la ética como trabajador y la moralidad ante sus compatriotas al exponer la violación de los derechos constitucionales de los ciudadanos, teniendo así un impacto transcendental a nivel global, dada la escala de impacto y alcance de la filtración de datos, y las repercusiones legales, diplomáticas y tecnológicas de la seguridad de la información.

Conclusión

Si bien, estas practicas han ocurrido en variadas oportunidades a través de los años, tratar de intervenir en la rectitud, honestidad y principios éticos de los trabajadores, es un tema complejo dada la diversidad de entornos, culturas e influencias sociales, sin embargo las medidas que una entidad corporativa puede considerar para la prevención y mejora de la privacidad y manejo de sus datos, dependen netamente del perfeccionamiento en las técnicas de ciberseguridad aplicadas, tales como políticas de protección rigurosas, vigilancia y monitoreo, cultura organizacional, directrices claras de gestión de datos, revisión y evaluación periódica de los empleados, gestión de incidentes, y por sobre todo, protocolos de salida, ante la renuncia o despido de la entidad empresarial.

Referencias

-Navigating Insider Risks: Are your Employees Enabling External Threats?
-Lo que Snowden ha revelado hasta ahora del espionaje de EE.UU.
-Edward Snowden: the whistleblower behind the NSA surveillance revelations