kentoh - Fotolia
La analítica como una barrera contra las amenazas internas
Las organizaciones están utilizando tácticas de seguridad integrales, que incluyen analítica, para disuadir y afrontar comportamientos maliciosos del personal interno, y así reducir el riesgo organizacional, comenta SAS.
Las organizaciones públicas y privadas necesitan estar atentas constantemente a las amenazas que las bombardean desde fuera y dentro de sus límites. Con frecuencia se enfrentan a anomalías como brechas de datos, robo de información, propiedad intelectual, secretos comerciales y fraudes, entre otras.
Si bien ha prevalecido siempre la idea de que gran parte de estos actos maliciosos son cometidos por hackers y defraudadores que buscan lucrar o expresar una posición política, un porcentaje importante de dichos actos son perpetrados por empleados, directivos, contratistas o socios.
Normalmente, se recurre a soluciones de software existentes que se encargan de afrontar estas amenazas. Se diseñan también estrategias para mitigar los riesgos para complementar los programas en materia de seguridad, ética y cumplimiento y auditoría interna. En particular, para afrontar las amenazas internas, las organizaciones están poniendo en práctica tácticas de seguridad integrales que disuadan los comportamientos maliciosos del personal interno y reducir así el riesgo organizacional.
Si bien los mecanismos para la detección de amenazas internas se han integrado en varias iniciativas de protección, la mayoría de las empresas no las combaten de modo proactivo. Incluso con los programas más maduros y robustos que incorporan software, los procesos a menudo se realizan de forma manual y no son eficientes.
Se observa también que varios sistemas de protección contra fraudes y amenazas están fragmentados o son limitados debido a que se enfocan en investigaciones reactivas, en la actividad de la red o los servidores y carecen de mecanismos de priorización, además de que las reglas sobre las que se basan son inexactas.
Disuadir amenazas internas
Para estar atentas y vigilar los movimientos de sus integrantes, las organizaciones necesitan adoptar una enfoque multifacético y automatizado a fin de evaluar las amenazas, combinando capacidades robustas de gestión de datos, un modelo analítico y un entorno automatizado.
La analítica se ha aplicado en los entornos empresariales para disuadir las amenazas internas mediante la observación de datos desde distintas perspectivas. Esta tecnología se basa en cuatro dominios clave:
- En principio, las reglas se encargan de probar todos los comportamientos y actividades con una serie de algoritmos y reglas de negocio que son capaces de detectar tipos conocidos de comportamientos de riesgo a partir de patrones de actividad específicos o acciones definidas.
- La anomalía de detecciones, por su parte, determina los comportamientos para individuos, grupos y patrones de actividades para definir qué es lo normal para cada uno.
- El modelado predictivo y la minería de datos utiliza datos históricos o grandes cantidades de transacciones para predecir el comportamiento futuro y los riesgos potenciales, además de detectar nuevos comportamientos de amenazas.
- Por último, el análisis de redes o vínculos se extiende más allá de la visualización de datos con el propósito de calcular la relevancia estadística entre las conexiones o transacciones de los datos y determinar las relaciones inferidas.
Por otro lado, la capacidad de tener acceso a datos de un gran número de fuentes y analizarlos es fundamental. Es evidente que las organizaciones necesitan realizar esta actividad continuamente, así como ser capaces de monitorear y, de ser necesario, mejorar la calidad de los datos.
Más allá de lo evidente
A la par de los dominios antes mencionados, es fundamental vincular los datos para que tengan el mayor sentido posible, como las conexiones que pueden deducirse a partir del análisis de redes sociales, por ejemplo.
De igual forma, las organizaciones necesitan identificar todas las cuentas que los empleados manejan y las aplicaciones que han abierto, así como conocer con detalle la manera en que los colaboradores se relacionan y conectan con clientes y colegas. En general, este análisis ayudará a revelar a los empleados que representen un riesgo alto.
Las organizaciones podrían también requerir implementar la lógica de detección. En este contexto, los procesos basados en reglas pueden generar una vista holística, lo que permite observar los patrones de comportamiento que evolucionan constantemente. Incluso, pueden comenzar por implementar más técnicas basas en la analítica e implementar funcionalidades que van desde el modelado de algoritmos hasta árboles de decisiones, para realizar una evaluación más precisa y la detección oportuna de riesgos.
La experiencia muestra que la tecnología por sí misma no es suficiente para resolver los problemas de fraude interno, robo de información o propiedad intelectual. El concepto de protección real consiste en combinar políticas con tecnología, garantizando que todos los integrantes de la organización están conscientes de lo que está permitido y lo que no.
Asimismo, es fundamental asegurar que los derechos de acceso estén alineados con la función de cada individuo y que, si alguien sale de la empresa, esos derechos son cancelados.
Para que la analítica se aplique con éxito, las organizaciones necesitan políticas bien establecidas y el apoyo ejecutivo para los programas de combate al fraude que desarrollen, así como de iniciativas de capacitación continua. Estos esfuerzos ayudarán a proteger sus activos más sensibles, actuar proactivamente y más rápidamente al reducir los procesos manuales, prevenir las potenciales pérdidas y no iniciar una investigación después de que hayan sido víctimas de robo o fraude.
Sobre el autor: Yuri Rueda es Fraud Domain Expert en SAS LATAM. Es experto en temas de prevención de fraude, lavado de dinero, control interno y riesgos. Cuenta con más de 10 años de experiencia en la prevención de fraude en cheques, tarjetas de crédito, débito, prepago y banca electrónica. Ha colaborado en instituciones financieras como Banamex, Scotiabank, así como en organizaciones como BNP PARIBAS PERSONAL FINANCE, SI VALE México, Broxel FINTECH, entre otras. Es egresado de la licenciatura en Administración por la Universidad Chapultepec, A.C.; cuenta con una maestría en PyMES por la Universidad Chapultepec, A.C. y un diplomado en Control de Riesgos y Prevención de Fraudes por el Instituto Tecnológico Autónomo de México (ITAM).