Creo que la mejor lección aquí es no confiar en nadie (es decir, en quienes no tienes motivos para confiar). Esta es más una estrategia general de gestión empresarial, sí … pero creo que se relaciona directamente con la seguridad de TI como un principio operativo general que afecta virtualmente a todos los aspectos de una empresa, como una cuestión de actuar de manera prudente y realista para evaluar los riesgos de cualquier forma.
Aquí está mi justificación detrás de este …
Según John McAffee (el experto en seguridad cree que el pirateo del sitio de Ashley Madison fue un trabajo interno | Toronto Star), el hack de Ashley Madison básicamente tenía que tener algún tipo de asistencia interna, dadas las complejidades de los datos, y cómo parece haber sido obtenida. (es decir, habría que involucrar a alguien con familiaridad previa con los datos para que esto se pueda llevar a cabo).
Honestamente, esto no me sorprendería en absoluto. La mayoría de las brechas de datos importantes que han hecho noticias recientes han tenido pruebas firmes de algún tipo de asistente interno, y creo que esta coherencia está presente por la sencilla razón de que cada organización tendrá un eslabón débil que puede ser manipulado. comprado, o tal vez incluso “plantado” desde el principio de su empleo. Es decir, que el empleado responsable de una determinada infracción puede haber intentado unirse a la empresa desde el principio, precisamente con el fin de infiltrarse en ellos.
- ¿Cuáles son algunas de las técnicas de marketing que los hombres pueden emplear para salir en línea?
- Cómo salir con una chica en línea
- Conocí a alguien en línea y resultó que él tiene una hija de mi edad. Tengo 26 años y él está en sus cincuenta. ¿Funcionará esta relación?
- ¿Cómo las empresas (‘mercados bilaterales’) como Uber, AirBnB y sitios web de citas, por ejemplo, hacen que las personas empiecen a usar sus servicios si se requiere que ambas personas funcionen?
- ¿Qué cuenta de comerciante de proveedores de pasarela de pago para sitios web de citas en línea en la India?
Soy consciente de que esta podría ser una referencia un tanto controvertida, pero hay una organización que creo que es efectivamente a prueba de balas por una razón muy bien pensada, y esa es Scientology. En este artículo (Por qué Tom Cruise y John Travolta no pueden abandonar Scientology, según el documental de HBO ‘Going Clear’), parece que los miembros de alto perfil de Scientology no pueden abandonar la religión, ni siquiera traicionarla en lo más mínimo, porque la Iglesia de Scientology simplemente conoce demasiados de sus secretos personales, obtenidos a través de un “asesoramiento espiritual” en el momento de su entrada.
En otras palabras, una vez que les has contado tus secretos, te tienen a ti. Estarás expuesto al funcionamiento interno de Scientology, seguro. Sabrás muchas cosas que otras personas se morían por saber. ¿Quieres hablar de ellos? No hay problema. La Iglesia de la Cienciología tiene muchas cosas de las que hablar, de las que quizás quiera guardar un secreto.
Ahora, no estoy diciendo que la lección aquí sea adoctrinar a sus empleados al estilo de Cienciología, pero lo que quito de esta disimilitud (es decir, que Cienciología no ha sufrido una brecha importante, mientras que Ashley Madison fue todo lo contrario), es que los scientologists no traicionan a Scientology porque tienen mucho que perder al hacerlo. ¿Se puede decir lo mismo de alguien que se convirtió en empleado de Ashley Madison específicamente con el propósito de acabar con ellos? Probablemente no, porque no es una práctica de contratación habitual hacer lo que hace la Iglesia de Scientology.
Entonces, para mi punto, la lección más grande aquí de “no confiar en nadie” es multifacética.
En primer lugar, los secretos, o cualquier forma de datos que puedan dañar de alguna manera a su empresa si se revelan, ni siquiera deberían ser accesibles para los nuevos empleados que no se han “probado” de alguna manera. Apple hace un muy buen trabajo comprobando el secreto de los ingenieros a este respecto, en realidad. La palabra en el mundo de la tecnología dice que los nuevos ingenieros de Apple reciben proyectos falsos para trabajar, como prueba de su capacidad para mantener un secreto (Apple hace que los nuevos empleados trabajen en productos falsos hasta que Apple pueda confiar en ellos).
Esta es una excelente manera de eliminar los posibles labios sueltos, en mi opinión. Es costoso, sí, pero cuando lo piensas, los salarios de los empleados que pagas por ellos para que trabajen de manera efectiva en nada son una póliza de seguro. Es decir; seguro, encadenarlos durante un año entero podría costarle $ 150,000 en pagos de salarios … pero si eso les impide hablar con los competidores o la prensa, lo que podría tener consecuencias con un valor de decenas o cientos de millones, es un precio pequeño pagar para asegurar su lealtad, ¿no es así?
En segundo lugar, utilizando la lógica de Freakonomics, la confianza de una empresa en uno de sus empleados debe basarse en algún tipo de incentivo tangible para que sean confiables. Un empleado verdaderamente leal no traicionará a sabiendas a la compañía, pero para alguien que no tiene muchos incentivos (o ninguno) para mantenerse leal, es solo una cuestión de cuánto puede ser comprado por otra persona con malas intenciones.
Ahora, eso es probablemente algo que ya sabe, pero no podemos negar el hecho de que incluso los contratos / acuerdos más firmes, restrictivos y claros no significan nada para un empleado que no tiene incentivos para permanecer leal. Si el trabajo es solo un cheque de pago, incluso si es muy bueno, en mi opinión no es suficiente para la lealtad. ¿Por qué? Porque incluso si la compañía recibe un gran golpe, todavía se les debe ese salario independientemente. Lo que significa que si ese golpe se debe a algo que causaron, no tienen un incentivo directo para no hacerlo, si la recompensa es suficiente para ellos.
Este artículo de Reuters hace un gran análisis de que los empleados también son dueños de compañías, a través de programas de compensación de acciones (¿Deben los empleados poseer más acciones de la compañía o menos?). Específicamente, en el caso de compañías como Southwest Airlines, Starbucks y Whole Foods, el resultado parece ser que hay una menor rotación de empleados (lo que se traduce en menos empleados nuevos para calificar de cualquier forma) y un mejor desempeño laboral.
El punto aquí es que si un empleado posee una buena cantidad de acciones en la compañía para la que trabaja, hay, de hecho, un gran desincentivo para que traicionen a la compañía. Después de todo, si la empresa cae como resultado directo de sus acciones, ¿quién pierde? Lo hacen … pero lo más importante, también lo hacen sus compañeros de trabajo . Para mí, esta es la clave. Como si un empleado específico fuera nombrado como el perpetrador, todos sus compañeros de trabajo los perseguirían para devaluar una gran parte de su patrimonio neto. Por ejemplo, si Ron filtró secretos a la prensa y las acciones de la compañía bajaron un 80%, es el 80% de sus acciones las que se vieron afectadas, así como las acciones de todos sus compañeros de trabajo (por no mencionar a los accionistas externos).
Efectivamente, el resultado aquí es un trabajo en equipo leal , y creo que es más probable que los empleados sean confiables dado el incentivo correcto que les beneficia directamente.
Finalmente, creo que los métodos a través de los cuales se puede acceder a los datos es un elemento relacionado con la confianza que jugó un papel en este truco. Más específicamente, si a los empleados se les permitiera trabajar desde casa o fuera del sitio, de tal manera que los datos pudieran simplemente “salir” de las oficinas de la compañía, creo que eso representa un riesgo bastante importante, por razones obvias.
Independientemente de quién realmente perpetró la violación de datos, muchas de estas ocurrencias se derivan de la presencia de datos fuera del lugar de trabajo y, por lo tanto, físicamente disponibles para un mayor número de personas desconocidas. ¿Recuerda la computadora portátil del analista de datos de Veteran Affairs que fue robada en 2006? VA pagará $ 20 millones para resolver una demanda por los datos de una computadora portátil robada. Esta es una prueba de que incluso las grandes divisiones del gobierno federal de los Estados Unidos no son inmunes a la pérdida de datos de esta manera. Todo lo que tomó en este caso fue el robo de la computadora portátil de un empleado.
Ahora, no sé qué sucedió en la situación de Ashley Madison, en cuanto a si los datos fuera del sitio jugaron un papel en esto, pero no importa. Esto se relaciona con mi punto inicial de confianza, nadie por la sencilla razón de que, como usted puede confiar en sus propios empleados, debe preguntarse si puede confiar en aquellos con quienes pueden entrar en contacto, por extensión de su confianza en ellos con algo. .
Eso es un poco retórico, de verdad. Apuesto a que el analista de datos no esperaba que el ladrón viniera a su casa y se llevara el portátil. Lo que significa que nadie, independientemente de lo bien planificada que estuvo la gestión de los datos, pudo haber previsto ese robo.
Dicho de forma más específica, ese empleado podría haber sido la persona más confiable del mundo. Sin embargo, dado que la computadora portátil estaba permitida fuera del lugar de trabajo, estaba expuesta inherentemente a cualquier persona no confiable que se cruzó en su camino .
¿Qué pudo haberlo evitado? Mantener todos los datos en el sitio. De esa manera, si es robado, solo hay un lugar donde podría haber sido robado, lo que aísla los puntos de vulnerabilidad.
Muchas empresas ahora están adoptando el concepto de “trabajo en el sitio solamente”, pero por una razón diferente. Por ejemplo, en 2013, Yahoo! dejó de dejar que sus empleados trabajen desde su casa (El gran debate: ¿Debería dejar que los empleados trabajen desde su casa?) basándose en la idea de que los empleados colaboran e innovan mejor cuando trabajan juntos en la oficina. Esto, junto con la seguridad de los datos, creo que aporta un beneficio significativo para la mayoría de las empresas al mantener el trabajo en el lugar de trabajo.
Entonces, en resumen, creo que la lección de “no confiar en nadie” se puede resumir en tres puntos clave …
- Un empleado no puede ser considerado leal, a menos que lo demuestre.
- Los empleados que tienen interés en la empresa tienen menos incentivos para traicionarla
- Al permitir datos fuera del lugar de trabajo, no solo confía en el empleado, sino que confía en cada persona a la que se acerca; Un riesgo que creo que es demasiado grande para que cualquier empresa lo esté tomando.