Red Seguridad 87

editorial La amenaza 'insider' L a amenaza insider es una de las principales preo- cupaciones de las organizaciones y una de las más peligrosas. Los empleados deshonestos que roban información de la compañía por diferentes motiva- ciones u otros que, simplemente, cometen errores o negligencias, pueden provocar auténticos perjui- cios que no solo afectan a lo robado o saboteado, sino también a otros aspectos como la reputación corporativa. No faltan ejemplos conocidos de esta amenaza, como Edward Snowden (caso NSA) o Chelsea Manning (caso Wikileaks), que sirven de muestra de la capacidad dañina que tiene un robo de información. En ambos casos, el objetivo de sus acciones estaba destinado a dar a conocer al mundo determinadas actividades de las instituciones para las que trabajaban. Sin embargo, se trata de un peligro frecuente en cualquier tipo de organización, sea pública o privada, muchas veces intencionado y otras, como señalábamos, por descuidos o errores. Los efectos de la acción de un insider pueden llegar a ser devastadores para la actividad de la propia empresa si afectan a información muy sen- sible; pero si nos referimos en los mismos términos a las infraestructuras críticas, el daño podría trasla- darse a toda la sociedad. En ese sentido, el recién publicado "Estudio sobre la amenaza interna en el ámbito de las infraestructuras críticas", elaborado por la Fundación Borredá y el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, con la participación de 60 operadores de servicios esenciales, indica que el 40 por ciento de estos valora la amena interna como un "riesgo alto", y en la misma proporción otros la consideran un "riesgo medio". Los operadores de servicios esenciales manifies- tan haber establecido políticas, procedimientos de verificación y tecnologías destinadas a evitar esta amenaza; sin embargo, la solución no pasa única- mente por sus propias medidas, sino que implica un cambio de legislación. No en vano, un 87 por ciento de los participantes en el estudio opina que es necesario disponer de un instrumento jurídico habilitante para efectuar comprobaciones de pro- bidad del personal de la empresa o subcontratado, que es una de las reclamaciones de los operadores para evitar incluir en su plantilla a potenciales insi- der s. Asimismo, sería interesante, en este sentido, que las compañías pudieran establecer cláusulas contractuales con la exigencia de que el personal se someta a comprobaciones de idoneidad, al menos en funciones o con acceso a activos críticos. La amenaza interna requiere, por tanto, solucio- nes multidisciplinares que involucren no solo a los operadores, sino también a sus proveedores y a la Administración. Los primeros han de estable- cer necesariamente una adecuada estrategia de seguridad para protegerse de las acciones desho- nestas o negligentes de sus empleados o de sus proveedores, pero además el Estado ha de habilitar opciones que les permitan conocer a qué trabajado- res contratan para evitar potenciales elementos de riesgo. Sin duda esto suscita controversia, pero en cualquier caso la Administración ha de aportar una solución al respecto pues se trata de infraestructu- ras críticas para el país; es decir, con un impacto directo en la población. Son algunas de las conclusiones a las que llega el "Estudio sobre la amenaza interna en el ámbito de las infraestructuras críticas", pero no las únicas. Para conocerlas todas, la Fundación Borredá cele- brará una presentación del documento el día 28 de noviembre, en Madrid, para todos aquellos concien- ciados y preocupados por esa amenaza tan peligro- sa como son los insiders . La amenaza interna requiere soluciones multidisciplinares que involucran a operadores, proveedores y Administración red seguridad cuarto trimestre 2019 3