Blog Post
Cómo prevenir las malas prácticas internas en materia tecnológica
Cuando hablamos de amenazas o riesgos en materia tecnológica, quizá lo primero que se nos viene a la cabeza es pensar en ciberataques, como consecuencia de la repercusión mediática que tienen este tipo de asuntos. No hay duda de que se trata de un aspecto importante que las compañías deben tener en cuenta. Sin embargo, menos se habla de otro asunto que no hay que olvidar o dejar de lado: me refiero a las posibles malas prácticas o irregularidades que pudieran cometer los empleados (insider threats en inglés).
Que los riesgos tecnológicos se encuentran entre las principales preocupaciones de la alta dirección de las empresas es una realidad. Los general counsels entrevistados en nuestro último informe “General Counsel Report 2022” así lo corroboran: coinciden en que en estos dos últimos años han visto un incremento significativo de la importancia de la tecnología y el uso de datos electrónicos en la toma de decisiones de negocio, y con ello, según se desprende de la encuesta, una mayor preocupación de estos ejecutivos sobre los riesgos relacionados con el tratamiento de datos, me refiero a temas como la privacidad, seguridad y protección de datos.
Estas preocupaciones tienen relación con posibles riesgos externos (hackers por ejemplo) pero también internos como consecuencias de malas prácticas por parte de los empleados (insider threats), que en muchos casos pueden ser involuntarias, provocados como consecuencia de falta de controles o sistemas de prevención y seguimiento. Un ejemplo de ello es permitir el acceso a documentos de trabajo desde dispositivos no corporativos, o el uso de dispositivos corporativos para temas personales; ambos casos complican la implementación de estrategias de protección de datos.
En el momento de tomar una decisión dentro de una compañía con respecto al uso, manipulación y transferencia de cualquier tipo de dato electrónico, tenemos que pensar en todos los posibles riesgos asociados. Las consecuencias de no tomar medidas adecuadas pueden provocar multas, impacto en la reputación, pérdida de negocio, desventajas competitivas, etc.
Conocer tus datos (Know Your Data) debe ser la base de toda estrategia de prevención de los insider threats. Si conoces bien tus datos, podrás aplicar una metodología adecuada para mitigar estos riesgos, y es tan simple como hacernos unas preguntas: ¿qué tipo de datos?, ¿por qué tengo estos datos?, ¿dónde los tengo almacenados?
Teniendo claro el punto de partida, el siguiente paso es identificar qué estrategias puede seguir una compañía para mitigar esos riesgos. Lo realmente importante es disponer de una metodología y procesos prestablecidos y probados que permitan a las empresas reaccionar con rapidez a cualquier necesidad o requerimiento, ya sea por causa de una petición interna o externa, un requerimiento legal, judicial o regulatorio. Aquí es donde el uso de la tecnología realmente demuestra su valor, ya que permite combinar distintos procesos, entre los que se incluye la Inteligencia Artificial (IA), que permiten resolver determinados problemas de manera automática mediante el aprendizaje progresiva (Machine Learning). Este aprendizaje será el que luego quizá pueda ayudar a detectar anomalías que nos puedan alertar ante posibles acciones ilícitas por parte de empleados.
Esta combinación puede simplificar enormemente los procesos y reducir los tiempos y costes asociados a determinadas tareas, pero, sobre todo, permite mantener el control sobre los datos de una empresa.
The views expressed herein are those of the author(s) and not necessarily the views of FTI Consulting, its management, its subsidiaries, its affiliates, or its other professionals.