5 estadísticas alarmantes sobre el robo de datos por parte de empleados y cómo protegerse
Teniendo en cuenta que las amenazas internas han aumentado un 44% en estos dos últimos años, las estadísticas revelan que estos peligros graves y crecientes pueden provenir de los empleados, especialmente cuando los mismos dejan la organización. Conoce las 5 estadísticas alarmantes sobre el robo de datos por parte de empleados y cómo protegerse.


Introducción
Cuando escuchamos sobre amenazas del mundo digital, lo primero que se nos viene a la mente son los incesantes peligros externos de hackers, ataques de phishing, ransomware o infiltraciones de malware. Sin embargo, las amenazas internas son el principal foco de riesgos, y el último Informe global sobre el costo de las amenazas internas de Ponemon en 2022 destaca un crecimiento acelerado de este tipo de ataques.
Las razones de esta situación están firmemente arraigadas en el amplio despliegue del trabajo desde el hogar (WFH), la Gran Renuncia, el ritmo acelerado de la transformación digital y el cambio cada vez mayor hacia el uso de aplicaciones basadas en la nube.
Si bien las amenazas internas también consideran a contratistas, terceros u otros asociados de confianza que tienen fácil acceso a la red de una organización, sus empleados constituyen una amenaza real que muchas veces se pasa por alto. Este riesgo es más significativo, cuando los empleados parten para otro lugar, como los efectos de la Gran Renuncia están evidenciando. A veces, los empleados se llevan Propiedad Intelectual de la organización, no tanto por una ganancia financiera, sino por la esperanza de asegurar una mejor posición y obtener reconocimiento y elogios instantáneos en el nuevo lugar de trabajo.
Estas son las principales razones por las que los empleados roban datos:
- Pura negligencia o ignorancia
- Ganancia personal o financiera
- Reconocimiento o ascensión social
- Venganza o sabotaje cuando se trata de empleados descontentos
5 estadísticas alarmantes sobre el robo de datos por parte de empleados
Estas son las cinco principales estadísticas que destacan la seriedad de este asunto:
- El 72% de los empleados que se van admiten haber robado datos de la empresa
- El 70% de la propiedad intelectual se roba dentro de los 90 días previos a la partida de un empleado.
- El 71 % del personal de altas posiciones en la organización creen que la Propiedad Intelectual que producen les pertenece a ellos, y no a la empresa.
- El 65% de los líderes de seguridad de la información han admitido haber robado datos de la empresa.
- 1 de cada 5 empleados admite haber usado aplicaciones en la nube externas para compartir datos corporativos confidenciales con otros
Fuentes: Informe de exposición de datos de 2019 de Code42 y Sus empleados están tomando sus datos – Richard Agneu
5 Acciones concretas para protegerse del robo de datos por parte de empleados
Compartimos 5 acciones concretas para reducir el riesgo de robo de datos:
1. Establecer Políticas y Procedimientos que minimicen la posibilidad de que los empleados extraigan datos de su organización
Se deben reglamentar aspectos como disponer de una definición clara de los datos corporativos confidenciales, los papeles y responsabilidades del empleado, cómo acceder a los datos de forma segura y cómo manejar la propiedad intelectual y secretos comerciales. Asimismo, es preciso abordar el uso de dispositivos móviles y computadoras portátiles correctamente, recursos en la nube, y garantizar una política de respaldo y destrucción efectiva de datos.
2. Educar a los empleados para que sepan que tomar información confidencial está mal
Es preciso dar visibilidad y concientizar periódicamente al personal sobre la confidencialidad de los datos, cómo acceder a los mismos de manera segura, y cómo manejar la propiedad intelectual y secretos comerciales de la organización. Los empleados precisan recibir orientación sobre lo que está bien y está mal, y lo que se espera de ellos. Una gran oportunidad de hacer esto es integrando estas medidas de concientización en el ciclo de vida del empleado, especialmente en su ingreso (onboarding) y previo a su salida de la organización (offboarding).
3. Hacer cumplir los acuerdos de confidencialidad (NDA) y Código de Conducta
Antes de iniciar la relación contractual con sus empleados, una organización debe asegurarse de que firmar acuerdos de confidencialidad (NDA) y de Código de Conducta.
Este documentos aseguran que los empleados sigan el comportamiento esperado y ayudan a proteger los activos de información dentro de la organización. Vale destacar que el NDA no sólo debe considerar la “información confidencial”, sino que también proteger adecuadamente la propiedad intelectual y los secretos comerciales. También debe incluir la obligación de devolver o destruir dicha información revelada al final el vínculo. Estos documentos son vivos y precisan ser revisitados anualmente, y especialmente antes de la salida del empleado.
4. Limitar el acceso a los datos desde el primer momento
Ni bien comienza la relación laboral, es fundamental no dar a los empleados más privilegios de los realmente necesarios. Aquí es importante considerar el principio de acceso mínimo, de modo solo se otorguen los permisos mínimos a los sistemas y las autorizaciones que el empleado necesita para realizar su función. El desafío aquí es automatizar el proceso de concesión y permisos de accesos lo máximo posible a lo largo del ciclo de vida del empleado. Soluciones de Gestión de Identidades (IAM) y de monitoreo de eventos (SIEM) permiten reducir errores y minimizar riesgos. Por último, es necesario revisar los privilegios de forma periódica, especialmente de los usuarios con accesos privilegiados (superusuarios).
5. Implementar tecnologías para proteger y monitorear el uso de datos confidenciales por parte de los empleados
La clave del éxito aquí es la automatización. Lamentablemente, la mayoría de los errores ocurren cuando hay personas involucradas. Por eso, no se trata solo de una cuestión de implementar las políticas correctas, sino combinarlo con buenas prácticas de protección y las tecnologías adecuadas en una solución integrada que mitigará o eliminará la posibilidad de conducta inapropiada por parte de los empleados.
Herramientas de prevención de protección de datos (DLP), archivado de contenido, encriptación, gestión de dispositivos móviles (MDM), uso de virtual desktops, entre otras, serán de gran ayuda para establecer esta solución integrada según las necesidades de la organización.
Vale la pena considerar el enfoque de Confianza Cero, una estrategia de seguridad que básicamente asume que todos son el enemigo. Si bien suena duro, después de todo, se desea confiar en los empleados, la verdad es que todos son una amenaza interna potencial, por lo que el mantra que se aplica aquí es mejor prevenir que curar. Como parte de este enfoque, los empleados, dispositivos y servicios con acceso a la red de la organización deben verificar continuamente sus identidades a través de controles activos como la autenticación de factor múltiple (MFA).
5 estadísticas alarmantes sobre el robo de datos por parte de empleados y cómo protegerse: conectando los puntos
La rotación de empleados está cada vez más acentuada por la Gran Renuncia y el dinamismo del mundo digital en que vivimos. Es así que los empleados que dejan a sus empleadores, independientemente del motivo de su salida, a menudo se llevarán consigo información delicada y confidencial, como propiedad intelectual o secretos comerciales, que pertenece únicamente a la organización.
El robo de esta información puede dañar significativamente a la organización, incluso exponiéndolos a una violación regulatoria, perjudicando su posición competitiva, y repercutiendo negativamente en sus ingresos.
Nunca fue más importante anticiparse para reducir el robo de datos, y para esto se deben establecer políticas y procedimientos centrados en garantizar la visibilidad y adopción de las prácticas de los empleados, limitar el acceso a los datos, e implementar tecnologías para proteger y monitorear su uso por parte de los empleados.
Cibersergei es la plataforma de servicios de Inteligencia de Concientización ágil que permite fortalecer la adopción de las directrices de seguridad corporativas de protección de datos, e integrar la concientización al ciclo de vida del empleado para habilitar resultados sustentables y minimizar el riesgo de robo de datos. Si querés obtener más información al respecto, te comparto el artículo Automatización de Concientización integrada al ciclo de vida del empleado.
Frase para Guardar en el Bolsillo
“Si perdés datos, No pierdas la lección.”
“La Confianza es como la presión arterial … Es silenciosa, vital para la buena salud, y si se abusa, puede ser mortal. – Felix Frankfurter
“Ten cuidado y salvarás a muchos hombres del pecado de robarte.” – Ed Howe
“Hay riesgos y costos en un programa de acción, pero son mucho menores que el costo a largo plazo de la cómoda inacción.” – John F Kennedy