Cuando contratamos a alguien de buena fe para trabajar en nuestra empresa, asumimos que respetará nuestra organización, políticas y datos empresariales confidenciales. Pero, por desgracia, aún no vivimos en esta utopía. Por lo tanto, debemos tomar precauciones para garantizar la seguridad y la integridad de nuestra organización, así como los datos comerciales y personales críticos a los que tenemos acceso.
Hace un año que escribí un artículo sobre los riesgos asociados a los nuevos empleados durante los primeros 90 días. La adopción de tecnologías deepfake y de IA generativa hace cada vez más fácil que los ciberdelincuentes suplanten la identidad de candidatos creíbles. El Mes para la Concienciación sobre las Amenazas Internas es una buena oportunidad para evaluar su estrategia de investigación de los nuevos empleados y sus controles de seguridad durante los primeros meses de un empleado. Después de todo, no querrá que el nuevo empleado se convierta en su próxima amenaza interna.
La nueva realidad
Los ciberdelincuentes han atacado siempre las áreas más vulnerables de una organización. Cuando todos trabajábamos en oficinas físicas, era muy difícil acceder a las instalaciones como amenaza interna. Sin embargo, ese no es el mundo en el que vivimos hoy. El teletrabajo ha creado una falta de visibilidad de las personas más allá de sus identidades digitales. Ahora es fácil usar las tecnologías deepfake y la IA generativa para crear fachadas que conozcan las respuestas más probables y puedan articularlas con claridad.
Debido a que los equipos de RR. HH. deben filtrar una número cada vez mayor de candidaturas por puesto, recurren a herramientas de IA y de aprendizaje automático para analizar los CV y establecer un primer contacto con los candidatos. Se trata de una necesidad empresarial que juega en favor de los ciberdelincuentes. Cuentan con la experiencia y las herramientas necesarias para deducir los elementos esenciales de las ofertas de trabajo y crear los perfiles adecuados para pasar las evaluaciones iniciales como los mejores candidatos. Este podría ser el primer indicio de que algo no va bien: cuando un candidato parece demasiado bueno para ser verdad, probablemente lo sea. Ese fue el caso cuando KnowBe4 contrató sin saberlo a un ciberatacante norcoreano que se hacía pasar por un ingeniero de software de TI en 2024.
Mejores prácticas para reducir los riesgos asociados a los nuevos empleados
Implemente procesos de investigación rigurosos
Los equipos de RR. HH. deben ajustar sus procesos para garantizar que no se cuelen personas malintencionadas. Se pueden tomar varias medidas para reducir los riesgos relacionados con la contratación de un nuevo empleado:
- Grabe la entrevista. Con el consentimiento de la persona interesada, grabe la entrevista. Asegúrese de que el departamento jurídico lo haya aprobado, pero es importante asegurarse de que tanto el entrevistado como el entrevistador actúen de buena fe.
- Investigue a fondo a los candidatos. Utilice las herramientas disponibles y la intervención manual para contrastar el historial laboral del entrevistado con las redes sociales públicas, sus lugares de trabajo y sus direcciones. Busque discrepancias entre lo que dice su currículum y los comentarios de empleadores anteriores.
- Realice verificaciones rigurosas de antecedentes. Utilice las herramientas legales proporcionadas para realizar verificaciones de antecedentes y asegurarse de que las personas no aparezcan en las listas de ciberdelincuentes a sueldo de un Estado. Asegúrese de que las direcciones de correo electrónico y los números de teléfono proporcionados funcionen y no sean inválidos o sencillamente no existan. No confíe en las referencias por correo electrónico; hable con personas que hayan trabajado con el candidato.
Existen muchas herramientas para lograr lo anterior y muchas organizaciones ya cuentan con capacidades como estas. Ahora es el momento de centrarse en el eslabón más débil de la cadena: las personas.
Concienciación con una formación continua y específica.
Para ayudar a las personas que participan en entrevistas a aprender consejos y técnicas, las organizaciones deben desarrollar procesos sólidos de formación en materia de seguridad. Es importante que los entrevistadores conozcan las tendencias actuales de suplantación de la identidad y cómo contrarrestarlas. Los reclutadores deben interactuar con el entrevistado a un nivel más profundo, haciendo preguntas que vayan más allá de los requisitos profesionales básicos y entablando una interacción física. Para garantizar la eficacia de un programa de gestión de riesgos internos, es fundamental que el equipo de seguridad y de RR. HH. trabajen en estrecha colaboración. Esta comunicación continua garantiza que cuando se detecte actividad sospechosa, ya exista un mecanismo de retroalimentación y una ruta de remisión a una instancia superior.
Por ejemplo, durante una entrevista pasada, hice un comentario sobre algo que se encontraba en el fondo de la oficina en casa de la persona que estaba entrevistando. Esto hizo que giraran la cabeza para mirarlo. Si hubiera utilizado tecnología deepfake, esta acción habría producido desenfoque o degradación de la imagen. Luego, les pedí que mostrara otro objeto del que estábamos hablando. Si hubiera habido algo "extraño" en la tecnología de sustitución digital de la cámara, habría distorsionado la imagen. Estas peticiones también obligaron al entrevistado a hablar sobre algo no relacionado con el trabajo. Además de garantizar la legitimidad del candidato, permitía conocer a la persona detrás del teclado y no solo a la imagen que proyectaba durante la entrevista.
Manténgase alerta durante los primeros 90 días
Ahora, supongamos que la entrevista es un éxito rotundo y que se contrata al candidato. Sabemos que los primeros 90 días pueden ser uno de los momentos de mayor riesgo en cuanto a intercambio accidental de datos, filtración maliciosa de datos y otros comportamientos de riesgo. Entonces, ¿cómo podemos asegurarnos de que el nuevo empleado se comporte de manera responsable?
- Fuerce lo inesperado. Asegúrese de que la persona que se presente el primer día sea la persona que superó la entrevista, y no otra distinta. Sí, esto pasa y es algo a lo que hay que prestar atención. Si se trata de un teletrabajador, siga tácticas similares a las utilizadas durante el proceso de entrevista: interactúe con la persona de forma dinámica por vídeo para asegurarse de que es quien dice ser y de que no haya deepfake ni manipulación de imágenes. Es preferible combinar reuniones planificadas con reuniones improvisadas. Invite al nuevo empleado a una videollamada sin darle tiempo para prepararse. Su agenda estará bastante vacía, por lo que no habrá una buena razón para evitar esta reunión. Esto constituye una señal de alarma.
- Considere al nuevo empleado como un usuario de alto riesgo. Desde un punto de vista tecnológico, todos los nuevos empleados deben estar en grupos de supervisión avanzada durante los primeros 90 días de empleo. Esto garantiza una visibilidad, y a menudo pruebas forense en caso de que sea necesario, sobre los comportamientos de riesgo. Es fundamental detectar a los empleados malintencionados que deseen perjudicar a la empresa, pero también ayudar a prevenir la pérdida accidental de datos mientras los nuevos empleados se familiarizan con los procesos y procedimientos de la organización.
- No conceda acceso sin formación. Es habitual limitarse a reproducir los niveles de acceso del empleado anterior para el nuevo empleado. Si bien esto tiene sentido para la uniformidad (en los sistemas de gestión de identidades y acceso o IAM esta práctica se denomina ”derechos hereditarios”, no debe otorgar acceso a datos sensibles sin aclarar antes su uso adecuado con el nuevo empleado. En muchas organizaciones, los derechos heredados para un rol determinado otorgan a los nuevos empleados acceso completo desde el primer día. Aunque el empleado recibirá formación sobre el uso aceptable, este lapso de tiempo es más que suficiente para que muchos ciberdelincuentes saquen el máximo provecho. Colabore con el equipo de IAM de su organización para determinar las medidas que deben adoptarse para crear un sistema de control de estos derechos y asignarlos únicamente cuando se haya completado la formación necesaria. Ajuste los controles de seguridad a este enfoque para evitar la filtración de datos sensibles.
Conclusión
Por último, y lo más importante, confíe en la intuición humana. Como responsable de contratación, si cree que algo no va bien, tome medidas para mejorar la supervisión de usuarios durante un breve período de tiempo. Después de todo, los seres humanos son buenos a la hora de captar señales sutiles. Es importante confiar en su instinto a medida que conoce a un nuevo empleado. No pase por alto elementos que podrían presentar riesgo para su organización. En caso de duda, recurra a una estrategia clásica: reúnase en persona. Contribuirá enormemente a generar la confianza necesaria.
- Para evitar que su organización protagonice titulares adoptando un enfoque proactivo frente a las amenazas internas, lea nuestro Artículo de blog.
- Para aprovechar una serie de recursos sobre cómo crear y reforzar su programa de gestión de amenazas internas, explore nuestro paquete de primeros pasos con Proofpoint Insider Threat Management.
