Cómo combatir las amenazas internas mediante la ciencia del comportamiento
La lucha contra las amenazas cibernéticas no es solo un reto técnico, sino también un reto humano. Uno de los objetivos de las organizaciones es prevenir las amenazas internas antes incluso de que se produzcan, y para ello es fundamental comprender el comportamiento humano. Las organizaciones deben ser capaces de disuadir a los empleados de tomar malas decisiones desde el principio, haciéndoles saber en primer lugar que están siendo vigilados y que es probable que sean descubiertos. Esa es la parte de la detección. Y, a continuación, hacer saber a los empleados que la organización se preocupa si están pasando por un mal momento y que cuenta con programas para ayudarles. Esa es la parte de la mitigación.
Cuando era agente especial para varias agencias gubernamentales, aprendí mucho sobre cómo comprender el comportamiento humano y cómo podía utilizarlo para resolver delitos. Ahora que trabajo en ciberseguridad, estas mismas habilidades me resultan útiles a la hora de combatir las amenazas internas. Si los profesionales de la ciberseguridad no han recibido formación en comportamiento humano, pueden asistir a algunas clases sobre el tema o contratar a un científico del comportamiento para que les asesore sobre cómo definir el comportamiento normal y de referencia de los usuarios, cómo identificar cambios anormales respecto a esa referencia y qué pueden significar esos cambios.
Una de las principales cosas que me enseñaron como agente fue cómo buscar lo que se conoce como indicadores de fraude, que básicamente son comportamientos sospechosos. Me formaron para reconocer desviaciones del comportamiento normal, lo que se denomina «desencadenantes». Entre los desencadenantes habituales de las amenazas internas pueden figurar el uso de soportes extraíbles por parte de los empleados, el uso de impresoras o fotocopiadoras alejadas de su oficina, o el hecho de que los empleados inicien sesión en el sistema informático durante horas en las que no están asignados al trabajo.
Los ingenieros de ciberseguridad se basan en desencadenantes como estos cuando diseñan sistemas de monitorización automatizados. Lamentablemente, muchos sistemas de monitorización se diseñan en torno a un único desencadenante, lo que a menudo da lugar a falsas alarmas. Los sistemas automatizados deben ser capaces de basar sus decisiones en múltiples desencadenantes, lo cual es más fácil de decir que de hacer.
Para los profesionales de la ciberseguridad, mitigar las amenazas internas a menudo significa reparar el daño causado por un ataque interno. Sin embargo, para los científicos del comportamiento, también implica examinar los factores atenuantes dentro de una organización que pueden aumentar o disminuir la probabilidad de que se produzca una amenaza interna en primer lugar, o evitar que vuelva a ocurrir.
Los desencadenantes conocidos del descontento y el ego suelen influir en la motivación de los ataques internos. A modo de ejemplo, para mitigar el descontento, las organizaciones pueden proporcionar a los empleados vías para expresar sus preocupaciones y frustraciones. Para mitigar el ego, las organizaciones pueden implementar programas de reconocimiento de los empleados que ofrezcan más elogios públicos.
La codicia, otro factor desencadenante que lleva a los empleados a cometer actos como la venta de secretos de la organización, puede constituir una motivación adicional para los ataques internos. A los profesionales de la ciberseguridad les resultará difícil disuadir a un empleado que lleve a cabo un ataque interno por codicia; sin embargo, las organizaciones sí pueden abordar cuestiones como las quejas derivadas de lo que se perciben como desigualdades en la remuneración, que pueden haber dado lugar al incidente de amenaza interna.
Los programas de detección de amenazas internas deben incluir el asesoramiento de científicos del comportamiento a la hora de prevenir problemas relacionados con las amenazas internas. La tecnología siempre implica de alguna manera a los seres humanos, por lo que usted abordar un reto tecnológico sin tener en cuenta la naturaleza humana. Y los expertos en naturaleza humana son los científicos del comportamiento.
Lea sobre el uso del análisis del comportamiento para ayudar a identificar señales de alerta en el comportamiento de los empleados en http://www.nationalcybersecurityinstitute.org/hactivism-terrorism-crime-and-espionage/uncover-insider-threats-through-user-behavior-analytics/
Fuente: Mitre (octubre de 2012). El factor humano: el uso de la ciencia del comportamiento para contrarrestar las amenazas internas. http://www.mitre.org/publications/project-stories/the-human-factor-using-behavioral-science-to-counter-insider-threats
