Hace ya unos meses, en este mismo blog, comentábamos la seguridad de los procesos de negocio y de los diferentes factores de riesgo (legal, técnico…) que pueden degradar dichos procesos; hablábamos en ese post del riesgo humano, ya que las personas son un activo crítico de las organizaciones y, como tal, pueden introducir riesgos en éstas, riesgos que como siempre debemos tratar de forma adecuada. Pero el paso previo al tratamiento de riesgos es, como siempre, su análisis, y para analizar estos riesgos debemos ser capaces de determinar amenazas, probabilidades e impactos que pueden causar las pesonas en la organización.
Bajo mi punto de vista, las amenazas derivadas del factor humano son claras: todas las englobadas bajo el paraguas de amenazas corporativas (errores), las derivadas de actividades sociales (accidentes) y las derivadas de actividades antisociales (delitos); incluso rizando el rizo, podríamos hablar del factor humano en las amenazas de origen industrial y, siendo todavía más retorcidos, en las de origen natural. De la misma forma, los impactos asociados a estas amenazas también suelen estar más o menos claros, y estarán con toda probabilidad en la parte más alta de la escala de impactos que queramos utilizar en nuestro análisis. ¿Dónde está entonces lo que más nos interesa? En la medida de la probabilidad, como casi siempre…
Para analizar probabilidades a la hora de hablar del riesgo humano, una aproximación que me gusta mucho adaptándola a nuestras circunstancias, por supuesto es la presentada en [1]. La idea resumida y simplificada es que cualquier persona está modelizada por una serie de perfiles que la definen, perfiles afectados además por una serie de condiciones de contorno (relaciones, privilegios, motivaciones…) y de eventos externos o internos a la organización que pueden provocar cambios sustanciales en el perfil de una persona (un cambio de estado civil, un ERE, la muerte de un familiar…). Si somos capaces de monitorizar esto, de una u otra forma, seremos capaces de establecer controles cuando sea necesario, y por tanto de mitigar los riesgos humanos no asumibles en la organización.
¿Cuáles son los perfiles que definen a las personas? Según el trabajo anterior, son los siguientes (existe un último perfil identificado en el trabajo, el de utilización de recursos informáticos, bajo mi punto de vista demasiado ad hoc para la detección de insiders y no tan apropiado para la modelización del riesgo humano en general):
- Perfil económico (estabilidad, actividades sospechosas…).
- Perfil social (estado civil, personas dependientes, hobbies…).
- Perfil psicológico (adicciones, comportamientos anómalos, falta de carácter…).
- Perfil profesional (inteligencia, satisfacción, implicación, reconocimiento…).
- Perfil legal (antecedentes penales, procesos pendientes, sanciones…).
- Perfil ideológico (implicaciones políticas, religiosas…).
Si somos capaces entonces de crear estos perfiles, y lo que es más importante, de monitorizarlos en el tiempo para detectar cambios sustanciales que puedan introducir riesgos en nuestra organización, habremos dado un paso importante para reducir los riesgos derivados del factor humano. Ahora la pregunta del millón: ¿cómo monitorizar todo esto? Lo ideal sería, como siempre, hacerlo todo de forma automática, con sensores que nos avisan en tiempo real de cambios potencialmente peligrosos en la modelizacion de una persona. Para empezar, esto no es siempre posible (¿cómo diseño un sensor que detecte comentarios sospechosos durante la hora del café? ¿y rasgos faciales que puedan implicar falta de interés o cansancio?) y, cuando lo es, no suele ser fácil; seguramente para el gobierno estadounidense puede ser trivial controlar en tiempo real las transacciones económicas o los antecedentes de sus ciudadanos, pero desde luego, para nosotros (pobres mortales) ni es fácil ni muchas veces sería legal.
¿Qué hacer entonces? Mientras trabajamos en monitorización automática de personas para calcular probabilidades cambiantes que puedan aumentar los niveles de riesgo (¡toma ya!), podemos conformarnos con realizar manualmente una modelización de las personas de nuestra organización, teniendo en cuenta los perfiles anteriores u otros cualesquiera que nos sean útiles y por supuesto con las consideraciones legales oportunas. En base a este análisis, y pensando un poco, seguramente no hará falta ser psicólogo para darnos cuenta de posibles riesgos (en cualquiera de los ámbitos de la seguridad, desde un insider a un riesgo reputacional) que pueden existir derivados de las personas, y por supuesto cuando identifiquemos un nivel de riesgo no asumible, deberemos tomar medidas -aplicar controles- contra el mismo. Ojo, estos controles no tienen por qué ser ni caros ni complejos: como casi siempre en seguridad, simplemente hace falta pensar.
[1] Mitigating insider sabotage and espionage: a review of the United States Air Force’s current posture. Erika C. Leach, Air Force Institute of Technology. Marzo, 2009.
Queda pendiente para futuras entradas o ejercicio para el lector más voluntarioso abordar las implicaciones en materia de privacidad de este tipo de mediciones del riesgo.
Sin lugar a dudas es un post propio de guion de Hollywood, si bien me consta por algunas fuentes (extranjeras) que estas cosas son en las que piensan algunas mentes retorcidas (espero que no como la del autor del post). Hay dos frases que me han dejado boquiabierto, le expongo “..y por tanto de mitigar los riesgos humanos no asumibles en la organización…” y “..de posibles riesgos (en cualquiera de los ámbitos de la seguridad, desde un insider a un riesgo reputacional) que pueden existir derivados de las personas,..”
De la primera me queda esa curiosidad de modelizar un riesgo humano no predecible, por mucho que estudiemos la conducta, y la pregunta ¿que es un riesgo humano no asumible? ¿esta totalmente relacionado con la seguridad?
De la segunda ¿no es un riesgo reputacional implementar estos controles?
Me gusta esta linea, y considero que es la previa a un GOTO… y libros de ciencia-ficcion-realidad hay para leer un buen rato.
Buen post!
Muy buenas Paco!
La verdad es que sí que es un poco de guión de Hollywood, pero estoy seguro que este tipo de cosas se hacen, y mucho más de lo que pensamos… ya no vale con quedarse en el CV Screening previo a una incorporación, sino que -con lo cambiantes que son los riesgos- hay que monitorizar todo lo posible :)
Con respecto a las preguntas:
a) Lo de modelizar riesgos humanos no es más que una aproximación; esto no son matemáticas, y simplemente se trata de tener valores de riesgo orientativos. Podemos fallar, por supuesto… pero al igual que podemos fallar considerando bajo el riesgo de ataque terrorista y tener mañana mismo un atentado :( Ójala fuéramos perfectos, pero no lo somos…
a’) Un riesgo humano no asumible puede ser una persona que presenta, p.e., indicios de robo de información, y para mí está muy relacionado con la seguridad; lo que decimos siempre: si un administrador del que sospechamos puede robar datos, trabaja con acceso total al sistema, tarde o temprano tendremos un problema (o no).
b) Depende como lo mires; mi opinión es que siempre que se haga atendiendo a la legalidad vigente, no debería ser un riesgo reputacional… otra cosa es entrar en temas de películas de espías y hacer cosas más delicadas, que efectivamente podría ser un riesgo :)
Saludos
Toni
Tela Marinera…pensando en las similitudes de la prevención de riesgos laborales, en las que existe una disciplina de Salud Laboral, que por medio de los análisis y reconocimientos médicos es posible sacar conclusiones relacionadas con la mejora de la seguridad en los puestos de trabajo, ¿no sería entonces lícito también velar por la seguridad de la información y de la continuidad de la compañía que sustenta a esos puestos de trabajo? realizando perfiles de los comentados en el post para garantizar que dichos puestos de trabajo, que tanto medimos y vigilamos en el ámbito de la prevención de riesgos físicos, médicos, ergonómicos y ambientales…no queden comprometidos para que finalmente no podamos medir nada de ellos… debido a la desaparición del mismo por el riesgo de la persona que lo ocupa?
Muy interesante. De hecho el artículo que publicamos en la revista SIC iba, con ciertas particularidades, orientado a mitigar/evitar los riesgos humanos. Desde luego prever, predecir, anticipar, etc. el comportamiento humano es algo bastante complicado por no decir imposible. De hecho han habido y hay líneas de investigación en psicología que intentan simular el comportamiento humano desde una perspectiva computacional (ver Herbert Simon, Alan Newell, Ulric Neisser, ……). No obstante, hay tantos aspectos, situaciones, etc. a considerar que a excepción de algunas situaciones controladas y limitadas es algo completamente inabordable (al menos a día de hoy).
En esencia creo que la solución pasa por el propio usuario. Visto desde fuera hay poco que hacer. El objetivo a alcanzar es que el usuario interiorice, tome consciencia, etc. de sus propias conductas y actúe en consecuencia.
También, como ha comentado Manuel en el primer comentario, habría mucho que decir sobre temas legales relativos a la privacidad de las personas. Una cosa es registrar la actividad del usuario (logs y poco más) y otra obtener “perfiles psicológicos” de esa actividad….. suena a ciencia-ficción pero ya hay cosas por ahí que se parecen…….. hablemos dentro unos añitos ;-)
Toni,
volviendo al tema, y despues de un flash mental que he tenido, en este aspecto me parece que son los gobiernos (inteligencia) donde este aspecto puede ser el más crítico, no es que la bolsa no sea crítico pero es diferente. Me refiero al comportamiento del personal que tiene acceso a información crítica, libros como el Manifiesto Negro o la película ‘la lista’ me recuerdan la fragilidad del ser humano en cuanto se le pone delante una zanahoría bien grande.
¿sabes si los gobiernos implementan controles adicionales a los técnicos relacionados con el cambio de comportamiento y demás aspectos? Si bien se supone que la contra-inteligencia puede hacer esto tengo más que curiosidad por saber hasta que punto estamos llegando, por que imaginar hasta que punto llegaremos es imposible,
Hola Edgar
Gracias por la aportación; revisaré los números de SIC para leer el artículo con detalle.
Estamos de acuerdo en que modelar el comportamiento humano al 100% es imposible (y mucho más, anticipar hechos); el objetivo suele ser una primera aproximación, algo que nos permita tomar decisiones -equivocadas o no- o fijarnos con más atención en alguien o algo spsoechoso.
En cuanto a temas legales… eso da no para un post, sino para una serie completa!!
Saludos
Toni
Hello Paco
Evidentemente no sé si los gobiernos implementan este tipo de controles. Más quisiera yo saber! :)
Lo que está claro es que si alguien está haciendo algo, serán justo los gobiernos (militares, inteligencia…), mucho antes que el ámbito civil o de empresa privada; de hecho, el documento referenciado en el post es militar (muy interesante).
Saludos
Toni
Toni,
aquí lo tienes
http://www.eddasec.com/?p=53
Saludos,
Zankius Edgar :)
Saludos
T
automatizar un “perfil ideologico” de las personas que trabajan en una organizacion?? no sera peor el remedio que la enfermedad?
y ante sospechas..que medidas tomas? en plan minority report? le detenemos porque el sistema pre-cog indica que usted va a cometer un delito-robo de informacion- destruccion de informacion valiosa…??
Hola Wiki
La idea no es automatizar un perfil humano y en base a eso tomar decisiones “a ciegas”, a partir únicamente de los resultados (nada más lejos de la realidad); como casi siempre a la hora de hablar de riesgos, los resultados son una guía que permite luego tomar decisiones… esa guía, ese análisis, te puede hacer sospechar de una persona determinada, por ejemplo, y con esa información -y mucha otra que no es controlable de forma automática, como los comentarios del café- se pueden tomar decisiones. ¿Cuáles? No se trata de detener o despedir a nadie, a priori, pero si yo sospecho de que un empleado puede tener una situación que introduzca riesgos (por ejemplo, una falta de autocontrol) trataré de que esa situación sea lo menos mala posible para todos. ¿Cómo? Pues desde no enviando a esa persona a un cliente, hasta apuntándolo a un curso para potenciar el autocontrol, o simplemente tomándome un café con él y apoyándole… como decía, muchas veces las soluciones más simples son las más efectivas :)
Hola Toni,
Interesante tema, muy interesante. Creo que el lenguaje asusta un poco, casi nos podría llegar a ofender, pero también creo que si pensamos fríamente en esta cuestión, vemos que los objetivos últimos son los mismos que perseguimos cuando montamos un firewall (que nadie se asuste aún y siga leyendo :) y estos objetivos son perfectamente entendibles: Quiero minimizar los riegos en mi organización, vengan de donde vengan.
Dos dudas a este “modelo policial”:
1. ¿No introduce este modelo un riesgo en si mismo si los empleados “descubren” el percal o parte del percal? ¿Como afecta esto a su relación con la empresa? ¿No les pone más alerta y recelosos y por ende incrementa el riesgo potencial de que “hagan algo que no deben”?
2. ¿El fin justifica los medios?
¿Nos deja esto atados de pies y manos en la “monitorizacion” de los RRHH? (que mal suena ya eso de RRHH por cierto, hablemos mejor de personas, ¿no?)
Bueno, pensemos un momento en la gestión moderna de personas y sus técnicas: gestión por valores, gestión del talento, gestión del conocimiento, perfiles de puesto de trabajo, plan de sustitución de personal, planes de formación y motivación, seguimiento “emocional”, coherencia salarial, estrategias de comunicación interna, planes de desarrollo interno, etc, etc, etc…
¿Que persigue todo esto? Creo que el fin último de toda esta gestión de personas solapa con el fin último planteado en esta entrada. Tal vez hay aspectos en lo planteado en esta entrada que no quedan cubiertos por la gestión de personas (¿más laxa? tal vez, pero ojito). Aún siendo así, si tenemos en cuenta el olor a “Estado Policial” (y lo que eso implica en la insatisfacción de las personas “vigiladas”), así como las implicaciones legales (al menos en materia de privacidad ya se huelen problemas en el horizonte)…. ¿no será mejor para la seguridad y por supuesto para la marcha general de la empresa implementar una moderna y efectiva política de gestión de personas?
A dia de hoy yo no tengo dudas, la respuesta es sí. Motiva a tus empleados, se tu el primer ejemplo a seguir, se coherente, explica los por que’s siempre que puedas hacerlo, escucha activamente a tus colaboradores, dales ánimos y explicales donde deben mejorar, después vuelve a darles ánimos, formales, etc, etc, etc. Haz todo esto (ahí es ná!) y tendrás una tribu dispuesta a luchar por ti, a defenderte si hace falta; con su manzanas podridas, pero ahora la mitad de manzanas limpias probablemente “vigilará” por ti.
Dos pluses a este modelo: primero, a buen seguro, duermes mejor; segundo, por complicado que parezca, es mas viable y, a día de hoy, más efectivo que el “modelo policial”.
Sí, de acuerdo, seguro que hay organizaciones de alto riesgo (ejercito, policía, organismos con una altísima necesidad de seguridad en su información como el CNI) que requieran algo más que una política moderna de gestión de personas, pero creo que esas organizaciones son las menos con mucha diferencia.
Hola Sergio
Disculpa en primer lugar por tardar tanto en responder :(
Contesto -más bien, doy mi opinión- a tus dos cuestiones:
1- No se trata de que los empleados “descubran”; no hemos hablado de ocultar nada, ni mucho menos… si ocultamos la “monitorización”, podemos tener problemas… ojo, eso no significa que se publique qué se está analizando y qué no al detalle, simplemente que se informe debidamente y, por supuesto, que se respete la legalidad. Algo tan legal como visitar un perfil de CaraLibro o de LinkedIn puede dar más información de una persona que un análisis médico :)
2- Buena pregunta a la que no tengo una respuesta contundente… si los medios son lícitos -y, por encima de ésto, éticos-, no veo mayor problema… ¿o sí? Anda, hazme cambiar de opinión :)
En cualquier caso, ningún modelo de perfiles humanos o similar sustituye a un buen ambiente laboral, a una política efectiva de gestión de personas, a animar a los colaboradores, etc. Igual que monitorizar los ataques no sustituye a parchear los sistemas; son simplemente, complementarios.
Saludos!
Toni
esto sirbe paramuchas cosas jajajajaja
muchas grasias
OOIGAN DISCULPEN MI IGNORANCIA PEROO esta información del blog sobre los riesgos humanos se puede tomar como un articulo del mismo ???