Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo puede el CISO manejar con seguridad los despidos

[22/05/2020] La realidad económica de hoy en día significa que la mayoría de las organizaciones están recortando puestos de trabajo.

La situación es dura para todos los implicados, pero presenta un desafío adicional para los CISO que deben hacer frente a los mayores riesgos de seguridad que plantean los trabajadores despedidos que, ya sea por actividad inadvertida o por acciones deliberadas, pueden perjudicar a la empresa.

Podrían descargar datos pensando que puede ayudar a su carrera, sin darse cuenta de que están haciendo algo malo. Podrían no devolver los dispositivos de la compañía que se llevaron a casa para trabajar. O algunos, amargados por los despidos, podrían sabotear la compañía.

Los CISO deben estar preparados para todos esos escenarios durante estos tiempos, señalan los expertos.

"Al CISO se le paga para que sospeche", señala Gregory J. Touhill, un general de brigada retirado de la Fuerza Aérea de EE.UU. que sirvió como el primer CISO del gobierno federal durante la administración de Obama. "Aunque las pruebas apuntan al hecho de que [la] gran mayoría de la gente no es maliciosa, el CISO tiene que actuar como si cada entidad pudiera convertirse en un actor malicioso". Es una tarea muy difícil, especialmente si los despidos se producen en la propia organización del CISO.

Para limitar la posibilidad de que se produzca un incidente de seguridad cuando se produzcan despidos, los expertos ofrecen las siguientes 10 prácticas óptimas:

Formar parte del equipo de toma de decisiones

Los CISO deben ser incluidos tan pronto como se inicien las discusiones sobre posibles despidos, señalan los líderes de seguridad experimentados. Esto permite a los CISO y a sus equipos poner en marcha lo antes posible sus planes para limitar los riesgos, algo que normalmente se necesita lo antes posible, ya que los empleados a menudo se enteran de los posibles recortes de personal incluso antes de que se anuncien formalmente.

"La comunicación entre los recursos humanos y el personal de seguridad debe ser oportuna y coordinada, de modo que cuando un individuo tiene que separarse de la empresa, el CIO puede estar seguro de que está salvaguardando la organización", anota Touhill, que ahora es profesor adjunto en la Escuela de Sistemas de Información y Políticas Públicas de la Universidad Carnegie Mellon.

Sin ese tipo de comunicación y coordinación temprana y continua con los CIO, añade, la organización se enfrenta a una mayor probabilidad de que uno o más empleados puedan llevarse datos sensibles o hacer movimientos maliciosos que pueden parecer inocuos en tiempos normales pero que levantan la bandera roja en los últimos días de un empleado.

Revisar quién puede acceder a qué

Los expertos aconsejan a los CISOs que revisen sus programas de acceso, autorización y autenticación con suficiente antelación a cualquier terminación, y que se aseguren de que disponen de controles adecuados para vigilar la actividad, así como para detectar anomalías que puedan indicar fugas de datos, infracciones o amenazas relacionadas con despidos.

Esa labor es la base de un programa de seguridad sólido y, como tal, los equipos de seguridad suelen contar con esas políticas y controles ya establecidos. Y si bien los CISOs deberían revisarlos periódicamente de forma rutinaria, sería conveniente que los revisaran ahora y los ajustaran según sea necesario para estos tiempos particularmente turbulentos, y limitaran el acceso dondequiera que tenga sentido desde el punto de vista comercial, señala Bruce deGrazia, director del programa de gestión y política de ciberseguridad en el Campus Global de la Universidad de Maryland.

"Incluso si no está contemplando la posibilidad de hacer cortes, es algo bueno y debería hacerse con frecuencia", añade deGrazia.

Documentar y auditar el entorno

Del mismo modo, los posibles despidos deberían incitar a los CISOs a documentar y auditar el entorno, revisando y actualizando esa información si ya existe, y confirmando que disponen de las tecnologías de seguridad adecuadas para señalar, informar e incluso abordar las acciones sospechosas, comenta Chris McElroy, consultor superior de Swingtide, una empresa de consultoría de gestión.

Los CISOs necesitan una buena documentación, por lo que confían en que, tan pronto como se produzcan los despidos, podrán eliminar el acceso de esos empleados a todos los sistemas, tanto si acceden a esos sistemas a través de un único inicio de sesión, como si lo hacen fuera de esa única función de inicio de sesión. Esta documentación es especialmente importante cuando en los despidos intervienen tecnólogos o miembros de equipos superiores que suelen tener acceso a la infraestructura de la tecnología de la información y a la información más delicada de la organización, respectivamente, así como para los empleados de los departamentos que tienen su propio presupuesto para comprar y ejecutar programas informáticos.

Al mismo tiempo, McElroy aconseja a los CISOs que revisen su programa de prevención de pérdida de datos (DLP, por sus siglas en inglés), así como su software de DLP y las reglas que lo rigen, junto con otros controles, para asegurarse de que pueden supervisar y evitar el acceso, uso, divulgación o fuga de datos no autorizados.

Supervisar y detectar

El siguiente paso es hacer que esas tecnologías de seguridad funcionen en horas extras, utilizando las herramientas de vigilancia de la actividad para detectar intentos inusuales de ver, copiar o mover datos, así como para señalar cualquier intento de acceder o modificar los sistemas, señala Touhill. Los CISOs deberían estar vigilando para detectar tales signos de acceso inapropiado en el tiempo que precede a los despidos, ya que los trabajadores a menudo se enteran de los recortes de trabajo con antelación.

Dado que los trabajadores pueden estar accediendo a la información como parte de sus tareas laborales habituales, es posible que los CISOs y sus equipos tengan que establecer finas distinciones en el acceso que puedan alertarles de una posible pérdida de datos. Los trabajadores, por ejemplo, podrían acceder a los datos para completar una tarea en la oficina, pero tratar de descargar o enviar por correo electrónico esa información pensando que podría ayudarles en su próximo lugar de trabajo.

Touhill dice que las organizaciones necesitan la capacidad tanto de observar las acciones normales como de identificar las anormales, así como la capacidad de completar una investigación forense en caso de que los funcionarios descubran una pérdida de datos después del hecho.

Coordinar el tiempo

El tiempo es crítico cuando se trata de la salida de los empleados, ya que el equipo de seguridad debe estar listo y ser capaz de terminar el acceso de alguien a todos y cada uno de los sistemas y dispositivos, tan pronto como se produzca el despido, indica Sounil Yu, CISO de YL Ventures. Eso significa cerrar el acceso de entrada, así como deshabilitar las tarjetas de acceso y similares en un movimiento bien orquestado con el equipo de recursos humanos, los supervisores y los líderes empresariales. "Quiere sincronizar el corte de acceso todo al mismo tiempo", anota Yu. "Eso incluye las cosas obvias en torno a los inicios de sesión en la red o el acceso a varios servicios de la empresa, pero [los equipos de seguridad] a menudo se olvidan de los servicios en la nube o las cuentas de servicio".

Planificar los dispositivos y los trabajadores fuera del sitio, así como las circunstancias únicas de hoy en día

La pandemia ha complicado la ya difícil tarea de ejecutar los despidos de todos los involucrados en el proceso, dicen los expertos. Eso significa que los CISOs tienen algunos puntos extra que considerar. Por ejemplo, muchos CISOs hoy en día tienen que considerar cómo el rápido cambio al trabajo remoto abrió riesgos que deben ser sellados si y cuando esos empleados son despedidos. Eso puede incluir el tener que recuperar físicamente los dispositivos de la compañía que se fueron fuera del sitio en un volumen sin precedentes, ya que la pandemia obligó rápidamente a los empleados a trabajar desde sus casas.

Yu aconseja a los CISOs que trabajen con los gerentes funcionales y de recursos humanos para desarrollar una estrategia que garantice que cualquier dispositivo fuera de la empresa vuelva a la organización; podrían, por ejemplo, decidir retener la indemnización por despido hasta que esos dispositivos sean devueltos.

Yu dice que los CISO también podrían considerar la posibilidad de hacer una pausa, en lugar de cortar completamente el acceso a los sistemas si los trabajadores solo están de permiso, algo que podría facilitar su regreso al trabajo cuando los tiempos mejoren.

"Las circunstancias de hoy en día complican considerablemente el trabajo de los CISOs", anota Yu, "lo que indica una vez más la necesidad de que los CISOs estén presentes en todas estas importantes decisiones de gestión".

Aprovechar los recursos jurídicos

Antes de los despidos, los expertos dicen que los CICOs y sus homólogos del departamento jurídico deben trabajar juntos para reforzar los mensajes que pueden ser compartidos con los trabajadores que se van. Esos mensajes pueden incluir, si procede, un recordatorio sobre las normas que los trabajadores acordaron seguir cuando se incorporaron a la empresa por primera vez, y también podrían incluir nueva información sobre las funciones que se espera que desempeñen los trabajadores en la salvaguardia de la seguridad de la empresa, incluso cuando se separen.

"Se debería recordar a los trabajadores que algunas acciones tienen implicaciones jurídicas. Puede que no sirva de nada, pero hay que cubrir todas las bases", señala deGrazia.

Reajuste su equipo y su agenda de seguridad

Otra parte desafiante y particularmente dolorosa de los despidos durante estos tiempos es la probabilidad de que las personas del propio equipo del CISO sean despedidas. Los expertos hacen hincapié en la necesidad de que los CISOs traten a su propio equipo como lo harían con otros, terminando el acceso a todos los datos y sistemas inmediatamente. Además, tienen que ser particularmente conscientes de cerrar cualquier puerta trasera que su personal de seguridad pueda haber creado como parte de sus deberes.

Además, los CISOs, al igual que sus homólogos del lado de los negocios, tienen que tener un plan listo, para ejecutar sus operaciones de seguridad con menos gente. Yu dice que los CISO podrían invertir, si es posible, en más automatización para ayudar al departamento a hacer más con menos gente, pero dice que muchos CISOs tendrán que ser realistas sobre la probabilidad de que se haga menos trabajo con un personal reducido. En ese caso, Yu dice que los CIOs necesitan reevaluar a los profesionales de las empresas y luego reajustar sus recursos de seguridad a esas prioridades, trabajando con la empresa para que todos tengan claro los nuevos niveles de riesgo que existen como resultado de los despidos.

Hay que tener en cuenta a los que aún quedan en el trabajo

Las consideraciones técnicas son solo una parte de la tarea que tienen ante sí los CISOs. Deben considerar el impacto personal que los despidos tienen en las personas, incluido el resto del personal que, probablemente, estará estresado y posiblemente enojado por la situación.

"Habiendo pasado por esto en el pasado, puedo decirle que afecta a todos, así que no se olvide de pensar en lo que le está haciendo a la gente que se pasa hora tras hora apagando el acceso a amigos y colegas", anota Bil Harmer, un líder de 30 años en TI y ciberseguridad que ahora es CISO en SecureAuth. "Es importante tener empatía y pensar en el impacto humano en los que se quedan atrás. La vigilancia es crítica después de un evento de este tipo, ya que inevitablemente cambia la percepción de algunas de las personas que no fueron dejadas ir. Este es el momento en el que la represalia interna puede estar en su punto más alto".

Aun así, mantén la seguridad de la compañía al frente y en el centro

Incluso cuando los expertos aconsejan a los CISOs que reconozcan el estrés y la ansiedad que viene con los despidos, Harner dice que las normas de seguridad son sacrosantas.

"En ningún momento después de un despido involuntario se debe permitir al empleado tocar cualquier sistema propiedad de la empresa", anota Harmer. "Esto es para la protección de todos. Si están emocionalmente perturbados, no es un salto muy grande para pulsar la tecla de 'borrar' en algo y terminar en un mundo de dolor. La gente hace cosas extrañas bajo presión y eliminar las posibilidades asegura la seguridad de ambos lados".