Las amenazas internas y su empresa: Lo que necesita saber para proteger su lugar de trabajo
Nunca piensas que te va a pasar a ti. Pero entonces lo hace. Un empleado corrupto. Un competidor. Un ex miembro del personal descontento, o un proveedor enloquecido. Una brecha de seguridad podría hacer caer toda su operación. A continuación le explicamos cómo protegerse y qué hacer cuando sus defensas caen.
Política y aplicación de protocolos
Establezca las expectativas cuando se contrata a los empleados por primera vez. Si ya dirige una empresa con todo el personal, aplique nuevos protocolos y restablezca las expectativas. ¿Por qué? Porque es justo, y porque permitirá a los empleados saber qué esperar.
Es como ir a un aeropuerto. Sabes qué esperar antes de pasar por el control de seguridad. No hay sorpresas.
Hay que cumplir los controles o enfrentarse a las consecuencias (es decir, no se puede embarcar en el avión). Una empresa que aplica políticas y procedimientos de seguridad estrictos puede conseguir lo mismo: se obtiene un alto nivel de cumplimiento y los infractores pueden ser castigados de acuerdo con normas y procedimientos preestablecidos.
La acción disciplinaria puede ser algo tan benigno como limitar el acceso a la red, o tan severo como el despido. Para los vendedores que trabajan en la empresa, el personal contratado y otro personal no empleado, la terminación del contrato sería (y probablemente debería) la primera y última consecuencia.
Defensa en profundidad
Las empresas que aplican una estrategia de «defensa en profundidad» suelen estar mejor protegidas que las que no lo hacen. La defensa en profundidad se refiere a un enfoque en el que hay capas de seguridad. Si una capa falla, otra está ahí para recoger lo que falta o para atrapar lo que se ha deslizado a través de la primera capa.
Las empresas pueden realizar pruebas de penetración para comprobar los sistemas de defensa y asegurarse de que son capaces de derrotar un ataque interno.
Aunque la mayoría de los empleados son honestos y trabajadores, hay algunos que quieren «vengarse» o «hacer las cosas justas», y no llevan camisetas a rayas blancas y negras con la cara pintada.
Limitar el acceso al servidor
Una de las mejores defensas contra una amenaza interna es limitar el acceso a la red y a los servidores. Utilizando cerraduras físicas y tecnología, una empresa puede limitar el acceso a sus datos y recursos. Los controles de acceso deben utilizarse para evitar que los empleados y contratistas accedan a lugares de la red a los que no necesitan acceder para realizar sus tareas.
En otras palabras, las empresas deben restringir el acceso para que los empleados y contratistas sólo puedan acceder a los datos y archivos necesarios para su trabajo y funciones específicas.
Comprobar los antecedentes
Compruebe los antecedentes de todos los empleados y contratistas antes de permitirles el acceso a cualquier parte de la red de la empresa. Las comprobaciones de antecedentes penales ayudarán a reducir el riesgo de que contrate a un delincuente, pero puede que no eliminen por completo a los indeseables.
Aun así, es un buen primer comienzo. Puede complementar la comprobación de los antecedentes mediante una extensa entrevista con preguntas abiertas. Las preguntas abiertas le indican dos cosas:
- Le indican información importante sobre el contenido de la propia respuesta y;
- Pueden darle una idea de la psicología del empleado potencial.
Por ejemplo, supongamos que está pensando en contratar a un nuevo empleado. La comprobación de los antecedentes está limpia, pero usted quiere saber sobre el empleo anterior del empleado. Le preguntas: «Háblame de la última vez que te despidieron de un trabajo».
Este tipo de pregunta es abierta y sugestiva. Supone que el candidato fue despedido de un trabajo anterior. La mayoría de los empleados que responden a esta pregunta están reconociendo implícitamente que fueron despedidos de un trabajo en el pasado. Esto, en sí mismo, no es siempre una acusación contra el empleado, pero puede serlo dependiendo de los detalles del despido.
Otra pregunta podría ser: «¿Qué me diría un antiguo empleador sobre su rendimiento laboral?»
No se trata de una suposición, sino de una pregunta abierta. Obliga al empleado a pensar en una respuesta a la pregunta que sea más que un simple «sí» o «no». La profundidad de la respuesta, la forma en que esté redactada y los detalles que le dé el empleado le dirán mucho sobre cómo veía el empleado a su anterior empleador, más que lo que éste pueda haber dicho realmente.
¿Por qué es importante? Porque proporciona un marco de referencia sobre cómo un candidato podría pensar en usted meses después de su empleo.
¿Se considera el empleado una víctima? ¿Es una persona con iniciativa? ¿Tiene, en general, una actitud positiva con respecto a los trabajos anteriores? ¿Una actitud negativa?
Aunque nunca pueda verificar la exactitud de la respuesta, puede saber que un empleado que se queja de tener que trabajar muchas horas no estará bien en su empresa cuando se le exijan horas extras. Además, exigir a este empleado que trabaje horas extras se convierte en un factor de riesgo de represalias internas o de sabotaje.
Utiliza siempre palabras más suaves en lugar de frases duras en tus preguntas: las personas tienden a ser más abiertas sobre sí mismas y sinceras cuando sienten que no están siendo juzgadas. Así, en lugar de usar la palabra «robar» o «hurto», utilice palabras como «prestado sin pedir». En lugar de decir «despedido» o «cesado», utiliza «dejar ir» o incluso «dejar su trabajo».
Supervisar la actividad de la red
La supervisión de la actividad de la red es importante porque le informa de los hábitos y comportamientos de sus empleados. Si ves que los empleados acceden a los datos a horas extrañas del día, que descargan una cantidad inusual de datos o que transfieren archivos fuera del entorno de red seguro de la empresa, es una gran señal de alarma.
Repetir los programas de formación
Es difícil formarse demasiado en materia de seguridad y mejores prácticas. Puede que no siempre sea el tema más interesante para su personal, pero les recordará constantemente que la empresa u organización se toma la seguridad en serio y que hay activos que merecen ser protegidos.
Una empresa debe ofrecer, y fomentar, una formación periódica sobre las políticas de uso aceptable. Debe ser algo que se cubra no sólo en el manual, sino en las clases de formación continua. Las clases y talleres regulares también pueden disuadir a las posibles amenazas internas de pasar a la acción, ya que saben que la empresa se centra específicamente en esas amenazas.