Con más de 1,100 brechas de seguridad internas que ocurren en las empresas del Reino Unido todos los días, cuando se mitiga el riesgo de pérdida de datos, el primer lugar a buscar es probablemente sus propios empleados..

La conciencia de seguridad interna está creciendo, en parte debido al efecto Edward Snowden. Al llevar los archivos de la NSA a los medios del mundo, Snowden fue la fuente de una de las fugas de información de perfil más alto de todos los tiempos. Pero en el momento de su acceso a esos archivos, Snowden no era en realidad un empleado de la NSA. El era un contratista.

Ahora, esto puede parecer una distinción irrelevante, pero en realidad es una consideración importante.

La organizacion extendida

En nuestro reciente informe de investigación, 'De Brutus a Snowden: un estudio de personas con amenazas internas', analizamos cómo difieren las actitudes hacia la seguridad entre la demografía, las industrias y los roles laborales..

La investigación se basó en una encuesta realizada a 2.000 trabajadores de oficina en el Reino Unido y en los EE. UU., Y una de las divisiones que analizamos fue la relación que estos trabajadores tenían con sus empleadores. De esa manera pudimos ver la diferencia entre empleados a tiempo completo y medio tiempo, proveedores, socios y contratistas.

Muchos de los resultados fueron sorprendentes. Al observar los hábitos de compartir contraseñas (una causa común de las violaciones de seguridad internas y la forma en que Snowden logró acceder a los archivos de sus colegas), los socios y proveedores parecen ser mucho peores que cualquier otro grupo.

Los que se describieron a sí mismos como proveedores en particular parecen compartir las contraseñas como una cuestión de rutina, con un 73% compartiendo las suyas con uno o más colegas en comparación con el promedio organizacional del 23%. Los socios también tienen el doble de probabilidades (46%) que el promedio de compartir contraseñas.

Si considera otra brecha de seguridad importante, la que afectó al minorista estadounidense Target, puede ver en la práctica la posible debilidad de seguridad que constituye la organización ampliada. La infracción se produjo a través del correo electrónico de suplantación de identidad, que se envió no a los empleados de Target, sino a los empleados de una empresa de climatización que trabaja con la empresa..

Ex miembros del personal

Una de las razones por las cuales un proveedor, socio o contratista puede no tener las mismas actitudes hacia la seguridad de su empresa es que no tienen el mismo incentivo para ser consciente como empleado a tiempo completo.

Otro grupo que carece de este tipo de incentivo es, por supuesto, los ex empleados. Y nuestra investigación desenterró algunas ideas interesantes sobre ellos también.

De hecho, de acuerdo con nuestra investigación, al menos un tercio de todos los ex empleados son conscientes de que continúan teniendo acceso a los datos y sistemas desde su lugar de trabajo anterior. Este número también es mucho mayor para las generaciones más jóvenes, tan alto como el 58% de las personas de 16 a 24 años y el 48% para las de 25 a 34 años. Esto sugiere que, en general, aquellos que han dejado un trabajo más recientemente probablemente tengan acceso continuo a los datos o sistemas de su ex empleador..

Además, el 9% de todos los trabajadores de escritorio no solo han tenido acceso, sino que también lo han utilizado. Eso es casi uno de cada 10 que ingresó a los sistemas o datos de un ex empleador.

Abordando los problemas

El tema de la red de ex empleados y el acceso a los datos es, cuando lo piensas, absurdo. Es tan simple restringir el acceso a los antiguos empleados, simplemente haciendo que el cambio de contraseña y la desactivación de la cuenta sean una parte sistemática del proceso de terminación. Sin embargo, claramente una proporción significativa de las empresas no lo hacen.

Por otra parte, la empresa extendida más amplia (socios, proveedores y contratistas) representa un problema más complejo. Sus usuarios normales a tiempo completo (deberían) recibir capacitación en seguridad y usted tiene más oportunidades de educarlos sobre las prácticas de trabajo adecuadas. Una organización socia puede requerir acceso a sus sistemas y datos para operar, pero sus empleados están menos informados sobre su política de seguridad, e incluso si lo fueran, tienen menos incentivos para seguirla..

La única respuesta aquí es emplear tecnología para ayudar a resolver el problema. Integre soluciones que combatan las malas prácticas, como el intercambio de contraseñas directamente en sus sistemas para abordarlas. Es posible que no pueda exigir que los empleados de un proveedor asistan a una sesión de capacitación, pero puede pedirles que acepten los términos de uso y notifiquen su política a través de la tecnología..

Ya sea que se trate de ex empleados, proveedores, contratistas u organizaciones asociadas, el mensaje más amplio es que las amenazas internas no se limitan a sus empleados actuales de tiempo completo o parcial. La seguridad interna tiene que ser de punta a punta. De hecho, podría decirse que es más importante aplicar en toda la organización extendida e incluso más allá de aquellos que han dejado el negocio.

  • Francois Amigorena es fundador y CEO de IS Decisions