«¿Cuántas veces más?»
A menudo, tanto nuestros socios como nosotros mismos nos hacemos esa misma pregunta tras escuchar caso tras caso de fraude cometido por los empleados de una empresa. ¿Cuántas veces más esas empresas tolerarán actividades sospechosas por parte de sus empleados antes de que se decidan a tomar medidas con una herramienta adecuada para enviarles alertas sobre ello? ¿Cuánto dinero más deberán perder antes de comprender que a partir de una cierta cantidad de datos de uso estos no pueden monitorearse manualmente?
Es incomprensible cómo las organizaciones pueden invertir tanto dinero en software de seguridad de alto precio y declarar lo importante que es para ellas la prevención del fraude cuando, a menudo, están buscando en los lugares equivocados o no investigan lo que deberían investigar a fondo: el comportamiento de los usuarios. Sí, pueden estar comprobando cuestiones de seguridad como desde dónde se está iniciando la sesión en Windows o si las tarjetas de asistencia están registradas correctamente, pero no es ahí donde están los puntos débiles que buscan los atacantes; a estas empresas, por así decirlo, los árboles nos los dejan ver el bosque. En su lugar, siguen atrapados en el pozo sin fondo del fraude, y no ven dónde está el quid del asunto. ¿Dónde está? En pocas palabras: «comportamiento del usuario».
Comportamiento irregular: Una aguja en el pajar
Todo comienza con un empleado que actúa de manera irregular. Quizá se trate de un empleado del almacén, hurgando en los importes de las facturas; o tal vez alguien de contabilidad está husmeando la información de RR. HH, o un gerente de ventas le está echando un vistazo rápido a los resultados de ventas de su compañero para comparar sus bonificaciones. Aunque la organización tenga tan solo 400 empleados, nadie puede identificar estas desviaciones de la actividad normal porque la cantidad de datos de uso que clasificar es enorme. Una persona no puede; pero el software sí. El software puede aprender el comportamiento regular de cada empleado, compararlo con el comportamiento «bueno» y enviar una alerta cuando se lleva a cabo un comportamiento irregular. De esta forma, casos como los ilustrados arriba pueden ser rápidamente eliminados si se ha implementado un software basado en perfiles y se han establecido las alertas pertinentes. Punto clave: establecer alertas.
Negacionismo de la seguridad en SAP
Según nuestra experiencia, entre los que optan por no implementar mecanismos de alerta para detectar la actividad irregular de sus empleados existen varias clases. Por ejemplo:
- Los que no quieren saber. ¿Por qué no asumir la responsabilidad de saber? Porque con este conocimiento viene asociada la responsabilidad. Si un empleado está cometiendo un fraude y nadie lo sabe, entonces nadie es responsable de ello, y no se puede culpar al equipo de seguridad por no actuar en consecuencia. La ignorancia es una bendición; lo que ignoran no les hará daño.
- Los que no saben qué hacer. Esta clase llega a descubrir actividades sospechosas, pero tal vez no tienen los recursos necesarios o no quieren lidiar con ellas. Es posible que no quieran contratar un consultor externo o formarse sobre este asunto. Simplemente, no quieren molestarse porque se sienten cómodos.
- Los que no tienen el tiempo o el dinero. Esta clase está desbordada por una pila de proyectos de un kilómetro de alto. Saben que es un tema importante y que deben ocuparse de él, pero no pueden pensar en ello hasta dentro de dos años. Te dirán «Vuelve después, porque la dirección ahora mismo me necesita para controlar los registros de asistencia». Resulta una respuesta verdaderamente irónica; tan solo necesitan identificar quién les roba dinero y dejar de perder el tiempo en minucias. Es un círculo vicioso.
- Aquellos que simplemente no se preocupan lo suficiente. Sé de una compañía a la que un empleado interno robó un total de 40 millones a lo largo de unos pocos años. Cuando se les planteó después una solución de alerta para evitar que esto se repitiera, su respuesta fue: «No es lo suficientemente importante. Los rayos no caen dos veces en el mismo lugar. Si nos hackearon una vez, no nos volverán a hackear». ¿Adivina qué pasó?
Si no recibe alertas sobre actividades irregulares de los usuarios como parte de su solución de seguridad SAP, por favor, implántelas: a partir de 2013 se han convertido en una práctica estándar. Le animamos a que dé un paso adelante en la identificación de las actividades sospechosas de los usuarios. Hacerlo es más fácil, más rápido y menos costoso de lo que usted piensa.
