La noticia aparecida hace unos días sobre la amenaza de chantaje a Naturgy por un “hacker “, que en realidad era un empleado subcontratado, pone una vez más de manifiesto el riesgo reputacional al que las grandes empresas están expuestas por sus proveedores y subcontratistas de servicios en este momento de transformación digital global que estamos viviendo.
Otro caso similar le ocurrió a Tesla el pasado mes de marzo. En éste, la motivación del supuesto autor del delito, además de la económica, fue beneficiar a sus competidores respecto a Tesla. Uno de sus empleados con acceso a información sensible relacionada con su sistema Autopilot, fue acusado de dar la información y secretos comerciales a la empresa XPeng.
Ambos casos, Naturgy y Tesla, tienen el mismo denominador común: un colaborador directo o indirecto, descontrolado y descontento.
Si analizamos correctamente el caso Naturgy , todas las compañías involucradas, Naturgy, Capgemini y Zemsania, no han tenido en cuenta el riesgo interno que genera la contratación y subcontratación de perfiles con altas capacidades en ciberseguridad, que tendrán acceso, en un gran porcentaje de casos, a información sensible, estratégica y personal de toda la organización.
Por lo tanto, nos deberíamos preguntar ¿Quién tiene las llaves de nuestra casa? ¿Sabemos cuántas personas las tienen?
No tener una respuesta a estas preguntas, ni un proceso adecuado en la selección de perfiles con acceso a información sensible, cuanto menos, constituye un apetito al riesgo muy elevado, unido a la siempre mala estrategia de la “esperanza “de que no nos ocurra a nosotros, y dará como probable resultado una crisis reputacional y/o un perjuicio económico.
En muchos medios se catalogan estos incidentes como ciberataques, pero siendo más rigurosos quizás sea más lógico catalogar esto como un fallo en cadena, provocado por la falta de supervisión, desde el proceso de selección de los perfiles hasta el proceso de gestión de riesgo interno, que debería formar parte del mapa de riesgos globales de las compañías.
Las amenazas a la seguridad más peligrosas para nuestras empresas no provienen de actores externos ni de las ciber amenazas sino de las amenazas internas.
Una amenaza interna (insider threat) puede encontrarse presente desde el momento en el que añadimos a una persona a la plantilla, o puede desarrollarse con el paso del tiempo debido a situaciones tanto personales como laborales, o simplemente, tratarse de una negligencia.
El informe «2018 Cost of Insider Threats» del Ponemon Institute, estimaba el coste medio de los incidentes causados por insiders en 1.4 millones de dólares con un coste anual total de 8.76 millones de dólares para las compañías en 2017. En 2019 el mismo Ponemon Insitute junto con Accenture en su estudio “The cost of Cybercrime” han determinado que este tipo de incidentes ha incrementado su coste para las compañías en un 15% en sólo un año, alcanzando la cifra de coste medio los 1.6 millones de dólares.