¿Qué es peor que un Insider motivado?, nada. antes de comenzar la justificación de semejante respuesta, y explicar su rotundidad, creo que es mejor explicar brevemente qué es un Insider. Un Insider es una persona que siendo miembro de la empresa, extrae datos o información confidencial para uso indebidos de la misma. Si lo pensamos bien, todos somos insiders porque de una forma u otra estamos sacando información de las empresas en contra de las políticas de seguridad, pero en este caso, el Insider es aquella persona que la utiliza para un fin personal y en contra de los intereses de la misma.
Una vez explicado el término, quiero hacer especial mención a los dos temas principales que se tratarán en el congreso y que son muy relevantes, por un lado, la «Psicología delincuencial. Perfil del delincuente del siglo XXI», donde lo fundamental es conocer lo que mueve a un cibercriminal, entendiendo las motivaciones de las personas que pueden llegar a atentar contra nuestros intereses, podremos llegar a generar una defensa adecuada que contrarreste dichas motivaciones, o contrarreste lo efectos negativos de las acciones que pueda generar. Los análisis de riesgos en las organizaciones tienen precisamente ese fin, la identificación de los elementos motivantes de los posibles atacantes, el conocimientos del atacante, así como las probabilidades de éxito que pueda tener en nuestra organización.
Por otro lado, y no creo que sea casual, se habla de «El Insider: La amenaza desde el interior de la empresa», y como ya hemos definido previamente, un insider es el elemento más peligroso de una organización, puesto que dicha persona ya tiene acceso autorizado a la información, y no suele ser el tipo de análisis que solemos tener en cuenta en las organizaciones, cuando nos preocupamos de realizar un análisis de riesgos. Siempre pensamos que los ataques vendrán de fuera, pero pocas veces valoramos el daño que pueden provocar en la filtración de información los propios empleados.
Hay formas de control muy poco usadas en las empresas y que acarrean muy mala fama en la sociedad, como son los departamentos de control interno. Precisamente estos departamentos, entre otras de sus muchas actividades, está la del control del fraude interno, un fraude que se dispara con los años y que cada vez es más necesario controlar. Según ACFE , son los empleados y los manager los que con más frecuencia realizan fraude interno, pero son los executive los que más volumen de dinero defraudan a la propia organización.
El control interno se impone como un control más dentro de la Organización. Sin abandonar las medidas de seguridad hacia el exterior, el interior de la empresa también debe de ser un ámbito de actuación para los sistemas de seguridad de la empresa. La adecuada información sobre los diferentes tipos de perfiles de atacantes y sus motivaciones son datos muy valiosos de cara a preparar las defensas de la empresa. Al mismo tiempo, la adecuada atención actividad que realizan estas personas, que según el análisis de riesgos de la Organización lo requieran, bien por la motivación, la oportunidad o el control de las operaciones en las que trabajan, también debe de ser un ámbito a controlar.