La incorporación de nuevos empleados a una organización siempre representa una oportunidad para integrar talento y renovar ideas. Sin embargo, desde el punto de vista de la ciberseguridad, los primeros 90 días de un empleado en una empresa son un periodo crítico.
Es un tiempo de adaptación para el empleado, pero también una fase delicada para la empresa, ya que el riesgo de ciberseguridad aumenta significativamente. Según el equipo de investigación de amenazas de Proofpoint, las primeras semanas de un nuevo trabajador pueden exponer a la empresa a vulnerabilidades internas que, si no se gestionan adecuadamente, podrían tener consecuencias devastadoras.
Un periodo de prueba para la ciberseguridad
El periodo de los primeros 90 días no solo se concibe como un tiempo de prueba para evaluar la competencia del nuevo empleado, sino también para examinar su comportamiento en relación con la seguridad de la información.
Esta investigación señala que los recién contratados representan un riesgo inicial considerable, ya que aún no están completamente inmersos en las políticas de seguridad ni han asimilado del todo la cultura organizacional. Esto puede derivar en errores inocentes o, en los peores casos, en actividades malintencionadas.
Para los expertos en ciberseguridad, tener un sano escepticismo ante las nuevas contrataciones es fundamental, aunque no se debe suponer lo peor de inmediato. Una de las preocupaciones más frecuentes es si los empleados recién llegados podrían acceder a información confidencial o, incluso, robar datos sensibles.
Existen casos documentados de personas que han aprovechado el proceso de contratación para infiltrarse en una empresa con fines maliciosos, tratando de avanzar rápidamente hacia sus objetivos antes de que su verdadera intención o incompetencia sea descubierta.
Aumento de las amenazas internas
En un contexto donde las amenazas internas han ido en aumento, más responsables de seguridad de la información (CISOs) están poniendo el foco en el riesgo humano como una preocupación central de ciberseguridad para los próximos dos años.
Según el informe Data Loss Landscape de Proofpoint, el 17% de los incidentes de pérdida de datos en empresas españolas fueron causados por personas con acceso a información privilegiada, como empleados o proveedores. Estos datos subrayan la importancia de prestar especial atención a las contrataciones, ya que muchas de las amenazas son internas.
Además, el informe revela que el 67% de los empleados pone en riesgo la seguridad de sus organizaciones de manera consciente. Estos riesgos incluyen el manejo inadecuado de datos, el acceso no autorizado a información sensible, y el incumplimiento de las normativas de seguridad. Por ello, el seguimiento y la supervisión durante los primeros tres meses es crucial para prevenir incidentes de seguridad que podrían ser evitados con medidas de control efectivas.
La mala praxis en ciberseguridad que llevan a cabo algunos nuevos empleados
Durante el proceso de integración de un nuevo empleado, tradicionalmente se brinda formación sobre cumplimiento normativo y uso de los sistemas técnicos. Sin embargo, en entornos donde hay escasez de personal, es común que los recién contratados comiencen a trabajar inmediatamente, postergando esta formación durante dos o cuatro semanas. Esto supone un riesgo, ya que pueden acceder a información sensible sin haber recibido la capacitación adecuada sobre cómo gestionarla de manera segura.
Una fuente adicional de riesgo es la diferencia en expectativas sobre cómo tratar los datos. En muchas ocasiones, el trabajador recién contratado proviene de un entorno laboral con políticas menos estrictas, lo que puede llevar a comportamientos peligrosos en su nuevo rol. Por ejemplo, un empleado que haya trabajado en un centro educativo, donde se fomenta la colaboración y el intercambio de información, puede no estar acostumbrado a las rigurosas normas de seguridad de sectores como el financiero, donde se exige una estricta confidencialidad y un control preciso de los datos.
La falta de familiaridad con las normativas puede dar lugar a filtraciones accidentales de datos, o incluso sabotajes involuntarios, que comprometan la seguridad de la empresa. Es importante recordar que los nuevos empleados, aunque no actúen con intenciones maliciosas, pueden cometer errores críticos debido a la falta de formación o desconocimiento de las políticas internas.
Visibilidad y supervisión durante los primeros 90 días
Dado el panorama de riesgos durante los primeros tres meses, es fundamental que las empresas cuenten con un programa eficaz para gestionar las amenazas internas. Este periodo debe estar marcado por una mayor visibilidad y supervisión del comportamiento del nuevo empleado. Esto implica la utilización de herramientas que permitan monitorizar el acceso y uso de la información, detectando cualquier acción que pueda poner en peligro la seguridad de la organización.
Un problema recurrente es que, al cambiar de empresa, los empleados tienden a retomar patrones de comportamiento habituales, que pueden no ser adecuados para su nuevo entorno. Aquí es donde un programa robusto de gestión de riesgos internos puede ayudar a identificar posibles desajustes y evitar que el empleado caiga en prácticas arriesgadas o inadecuadas.
Además, contar con un plan de contingencia en caso de que las cosas no salgan como se espera es esencial. Esto puede incluir auditorías internas, revisiones periódicas de seguridad y un protocolo claro de actuación ante incidentes relacionados con empleados nuevos.
La visibilidad, la formación y concienciación oportuna y la supervisión constante se convierten en elementos clave para proteger a la organización durante esta fase crítica. Solo a través de estas medidas se puede minimizar el impacto de los riesgos humanos y asegurar que los nuevos empleados se conviertan en valiosos activos sin comprometer la seguridad de la empresa.
