1

Carpe Diem

Desde pequeños hay gente que nos inculca la idea de que resaltar sobre el resto es malo, que todos tenemos que pensar igual, que tenemos que seguir lo que los demás hacen para encajar en la sociedad y luego están los que nos dirán que somos especiales, que somos extraordinarios y que tenemos que resaltar sobre el resto, que tenemos que pensar de forma diferente. ¿Pero, realmente no pueden ser las dos ideas igual de dañinas? Me explico, creo que tenemos que impulsar la creatividad de la gente desde pequeños y animar a la gente a cumplir lo que sea que quiere lograr en la vida, pero también creo que tampoco hay que forzar a que todo el mundo tenga que ser diferente porque ¿igual no todo el mundo quiere ser así? Indudablemente todos somos diferentes, pero me refiero más a pensar diferente a los demás, resaltar y querer lograr un sueño. Creo que si no impulsamos esa idea mucha gente sentirá que no puede hacer nada realmente importante en la vida y si impulsamos la idea de que tienes que ser diferente la gente que no tenga muy claro su “propósito” puede sentirse inútil porque no consigue resaltar sobre el resto. Impulsar a la gente está bien, pero también tenemos que entender que algunas personas prefieren ser “normales”, es decir, siguen siendo especiales por ser ellos mismos, pero no son especiales por pensar “out of the box” o resaltar en algo. Personalmente quiero pensar diferente y perseguir mi sueño, pero algunas veces me gustaría que no se me forzase tanto a tener que pensar de forma diferente y dejasen de decirme que soy especial y bla bla bla. Que, si que está muy bien todo eso y motiva, pero a veces puede hacerse pesado. Que te digan esto puede cansar y creo que tenemos que intentar dejar a la gente que sea lo que quiera ser y actuar como quiera actuar, eso sí, lo que no tenemos que hacer es el movimiento contrario y decirle que no es especial y que no puede hacer nada para cambiarlo.

Esta pequeña reflexión caótica se me ocurrió cuando recordé un video de exurb1a titulado “You Will Never Do Anything Remarkable”, que en castellano sería “Nunca harás nada notable”. Realmente es un video que creo que es muy interesante y tiene un muy buen mensaje, que no se acerca tanto a mi reflexión, pero si es lo que me ha inspirado a redactar lo anterior. En el video remarca, de forma muy acertada que no existe la genialidad, la gente puede llegar a ser buena en algo y resaltar en su ámbito, pero nunca tenemos que olvidar que esa gente son personas como nosotros y no seres extraños que nacieron actores, ingenieros o cantantes. Otra cosa que saco del video es que cuando te digan que no puedes hacer algo con excusas como que eres muy joven, muy mayor, no tienes la habilidad necesaria o alguna tontería de esas, no tienes que dejar que esas palabras se conviertan en cadenas y no te dejen avanzar a tu destino, si no convertirlas en combustible para propulsarte hacia él. En el video lo resume con la frase “FUCK OF AND WHO THE FUCK ARE YOU ANYWAY?”

Enlazando con el tema de un destino en la vida, o como he puesto en el primer párrafo propósito voy a hablar un poco de Soul, la última película de Pixar. Sin intentar destripar la película voy ha hablar con una parte que me pareció interesante del mensaje que da la película. En ella tenemos a un protagonista que lo que quiere en la vida es tocar en un grupo de Jazz famoso, ese es su propósito. Cree que cuando alcance ese objetivo en su vida, su vida cambiará y por fin será feliz como si de magia se tratase. Para su sorpresa aun alcanzando su propósito él es la misma persona, su vida es igual y de repente no se ha convertido en la persona más feliz del mundo. La película tiene un mensaje de que la vida se vive a cada momento y tenemos que disfrutar cada uno de ellos y de esto yo saco que cumplir tu sueño no significa que mágicamente tengas la vida resuelta. Creo que casi todos, aquí me incluyo yo también, estamos siempre pensando que lo que vendrá después será mejor y nos cambiará la vida por completo y luego cuando llegue queremos que llegue una etapa nueva y así hasta que ya llegue el final. Esto hace que, al igual que nuestro protagonista, no disfrutemos el presente y vivamos en un futuro hipotético que puede o no hacerse real. El cumplir tu sueño no tiene por qué significar que vayas a ser más feliz y el fracasar o tener que dejarlo a un lado tampoco significa que tengas que ser infeliz. En la película hay un personaje que es barbero y el protagonista cree que ese había sido su sueño porque siempre lo ve muy feliz, pero el propio barbero le dice que este no era su sueño y que tuvo que abandonarlo por su hija. Aun no habiendo cumplido su sueño. Este personaje es feliz y no cambiaría nada de su vida, porque para ser feliz no tenemos que cumplir ningún propósito, tenemos que vivir el día a día como nos gustaría disfrutando cada momento. Ninguno nacemos con un propósito en la vida, nadie nace con la obligación de ser cantante o de ser actor, somos nosotros con nuestros actos los que moldeamos nuestro futuro. Con esto quiero decir que tenemos que, persiguiendo nuestros sueños, pero que nunca tenemos que olvidarnos de vivir en el presente y que llegar al objetivo no tiene por qué hacernos felices y el no llegar no tiene por qué hacernos infelices.

Bueno pues hasta aquí el último post de todos, igual un poco caótico ya que en este caso he querido hablar un poco sobre algunas ideas que han rondado mi cabeza durante estos días. Recomiendo mucho que veáis Soul y el video que he comentado porque pueden ser muy interesantes para reflexionar sobre estos temas. He disfrutado mucho escribiendo los tres posts y creo que la libertad de escritura ha ayudado a que tanto yo como mis compañeros podamos hablar sobre todos estos temas interesantes con total libertad y con nuestro propio estilo. Mi idea al principio era enfocar todos los posts al videojuego, como hice con el primero, pero al final he ido encontrando temas que también podrían ser interesantes para hablar. Ahora que empieza un nuevo año, creo que es un buen momento de replantearse todos estos temas y empezar a impulsarse hacia nuestro sueño, pero sin olvidarnos de vivir al máximo el presente y teniendo claro que alcanzarlo no va mágicamente a arreglar todos los problemas en el mundo y el no hacerlo no va a arruinar nuestra vida.




Amenazas Internas en La Industria del Videojuego

Nos encontramos en el que es ya el último post sobre amenazas internas. Ya hemos visto todos los puntos clave para tener en cuenta cuando hablamos de amenazas internas, por lo que en este caso he decidido traer el texto a mi propio terreno y por eso voy a hablar de la industria de los videojuegos. Puede sonar raro de primeras, pero es una industria donde las filtraciones están a la orden del día y aunque algunas se produzcan por ataques externos la gran mayoría son realizadas por empleados de la empresa. No solo ocurren este tipo de amenazas internas en las desarrolladoras, sino que también surgen este tipo de problemas en las distribuidoras de videojuegos. En este post voy a intentar explicar cuál es la situación de esta industria respecto a este tipo de amenazas, como reaccionan ante ellas las empresas y que creo yo que tendría que hacerse para mejorar la situación.

Las filtraciones son algo arraigado a la cultura de la industria del videojuego y son el pan de cada día. Algunas filtraciones es cierto que provienen de ataques externos pero la gran mayoría son de empleados que sacan información a la luz a través de internet. La gran mayoría de proyectos que se anuncian suelen filtrarse con días, semanas incluso meses de antelación. En este caso hablamos de filtraciones de información, no del propio producto, que también se dan, pero ya hablaremos más delante de eso. Las filtraciones pueden ser tanto de información plana como título del juego y su descripción o tanto de fotos o video sacados claramente con un teléfono móvil. ¿Cómo llegan estas filtraciones a internet? Fácil, los empleados de las empresas de videojuegos han estrechado lazos durante años con diferentes periodistas de prensa especializada y lo más normal es que en estas noticias de filtraciones se hable siempre de una fuente secreta dentro de la compañía. Como ejemplo pondría una cuenta de Twitter, @Nibellion que suele ser quien saca a la luz gran parte de la información filtrada. Como ya hemos visto en los anteriores posts una de las razones de que los empleados decidan actuar de esta manera es que sienten que su empresa no los trata como debería. En mi experiencia y viendo cómo se actúa en la industria del videojuego, con temas como el Crunch del cual hable en otro post que también está disponible en este blog [1], lo más sensato es pensar que estas filtraciones son la manera de vengarse de los empleados. Como apunte rápido, el Crunch es como se denomina a la explotación laboral en esta industria y es algo que está arraigado en la propia planificación de los proyectos. También se dan el caso de filtraciones no intencionadas que ocurren en los eventos cuando desarrolladores y periodistas realizan cenas o fiestas ya que estos primeros se van de la lengua y sueltan información privilegiada. Incluso la propia empresa ha podido llegar a cometer errores publicando un mensaje en Twitter que no debían publicar hasta más adelante.

Desde la perspectiva del jugador no creo que se perciban estas filtraciones como algo dañino para la empresa ya que muchas veces ayudan a crear expectativas, pero es cierto que desde las empresas se ve en algunos casos como un daño irreparable. No son dañinas a nivel monetario para la empresa, pero si fuerzan a cambiar un poco las dinámicas de marketing de esta. Según Jeffrey Kaplan, vicepresidente de Blizzard Entertaiment, los que sufren estas filtraciones son los artistas y el equipo de trabajo detrás de ese proyecto. Habla sobre cómo les afecta moralmente a ellos el haber estado trabajando en algo y que días antes de poder enseñarlo se filtre toda la información. El ejemplo que dan es el del tráiler del Fortnite: Chapter 2, que se filtró una copia a baja calidad lo cual desmoralizó a todo el equipo de trabajo al ver que el proyecto en el que tanto habían invertido se presentaba de esa manera [2]. Otro caso lo podemos ver en el mando de WII U que se filtró días antes de su presentación en la feria E3 en Los Ángeles, lo cual provocó que la presentación de Nintendo no tuviera el impacto esperado sobre los posibles clientes [3]. Aunque se tome como un daño incalculable también es cierto que en muchos casos ha funcionado como un marketing excelente.

Aparte de estas filtraciones de información, también existen otras mucho más serias y que ya sí afectan muy negativamente a las empresas. Hablamos de cuando se filtra el juego en sí y los usuarios pueden acceder a él sin tener que pagar, es decir de forma ilegal. Estas filtraciones no suelen darse en la desarrolladora si no en las tiendas que se encargan de distribuir el producto. Las tiendas suelen recibir los juegos días antes de su venta para poder tener todo preparado para el día de salida, lo que lleva a que algunos empleados puedan filtrar tanto información como el propio código fuente del juego. Un caso bastante sonado fue el de “Super Smash Bros: Ultimate” que llegó a filtrarse semanas antes de su lanzamiento. Se hizo uso de un cartucho mexicano del juego para extraerlo y distribuirlo por la red, de esa manera muchos usuarios pudieron disfrutar del juego antes de su lanzamiento de manera ilegal, lo que supone no solo una filtración de información sino una pérdida de ventas por parte de la compañía [4]. También se dan filtraciones involuntarias como pudo ser el caso de “Yakuza 6” donde la compañía publicó una demo que ocupa 36GB y resultó ser el juego completo. Es cierto que tenía una protección para que solo se pudiera acceder al contenido de la demo, pero los jugadores consiguieron saltársela y acceder gratis a todo el contenido [4].

Personalmente, y viendo la información recopilada en anteriores posts, creo que las empresas tendrían que controlar más a sus empleados, eso sí sin privarlos de su privacidad. Creo que tendrían que controlar más el uso de tecnología que no sea de la propia empresa, como teléfonos móviles o USB. Otro punto importante está en el trato hacia los empleados, que seguramente si llegase a mejorarse no se crearían estas situaciones en las que un empleado decide filtrar información. En cuanto al tema de filtraciones de código fuente por parte de distribuidores creo que es más complejo y difícil de solucionar. Podrían apurar más las fechas de envío a tiendas, pero es cierto que podría llegar a generar retrasos en los lanzamientos y tener impacto negativo en los compradores. Este problema por ejemplo a la hora de enviar copias de prensa antes de tiempo está solucionado a base de poner identificadores en cada copia del juego para saber de dónde vendría la filtración, pero esto a gran escala sería inviable y seguramente sea más caro que dejar que las filtraciones ocurran.

En conclusión, las amenazas internas están muy arraigadas en la industria del videojuego y es algo a lo que se le tendría que poner freno. Quedarse con la idea de que algunas filtraciones no dañan a la empresa si no a la moral del equipo de trabajo, lo cual puede repercutir negativamente en el producto final. He de añadir que estas infiltraciones también nos dañan a los jugadores ya que arruinan las sorpresas que las compañías tienen preparadas y de las que tanto disfrutamos.

REFERENCIA

[1] <<Crunch>>, PublicaTIC, acceso el 24/11/2020, https://blogs.deusto.es/master-informatica/crunch/

[2] <<Filtraciones: ¿Marketing o daño a las empresas desarrolladoras?>>, PLAYERONE, acceso el 24/11/2020, https://www.playerone.vg/2020/06/13/filtraciones-industria-videojuegos-estudios/

[3] << Las 10 filtraciones de videojuegos más sonadas>>, IGN España, acceso el 24/11/2020, https://es.ign.com/reportaje/94010/feature/las-10-filtraciones-de-videojuegos-mas-sonadas

[4] << Cómo se filtran los videojuegos antes de su lanzamiento >>, HZ(Hardzone), acceso el 24/11/2020, https://hardzone.es/2019/01/20/filtran-videojuegos-ser-lanzados/




Controles para amenazas internas

Ya hemos hablado sobre qué son las amenazas internas, su relevancia y los riesgos que estas acarrean, ahora toca hablar de cómo prevenir, identificar y mitigar estos riesgos aplicando diversos controles. Para empezar a aplicar controles lo interesante es primero saber en qué situación se encuentra actualmente tu empresa y qué esfuerzos está poniendo en detener este tipo de amenazas.  En la página de SIRIUS Edge se nos plantean una serie de preguntas que podrían resultar interesantes para identificar el desempeño de nuestra empresa frente a estas amenazas para luego poder crear un programa que ayude a mitigarlas y prevenirlas [1].

  • ¿Has identificado y clasificado tus datos críticos?
  • ¿Has educado a tus usuarios sobre los procesos de tratamiento de los datos?
  • ¿Puede definir el comportamiento normal que debería tener el usuario?
  • ¿Eres capaz de identificar comportamientos anómalos?
  • ¿Tienes algún control de auditoría para dejar claro las necesidades de acceso y autorización de los usuarios?
  • ¿Tienes un programa efectivo de gestión de identidad y acceso (IAM)?
  • ¿Prestas especial atención a los usuarios con acceso privilegiado?
  • ¿Tienes alguna estrategia para auditar la adherencia a la política del usuario?
  • ¿Auditas de forma rutinaria las prácticas de seguridad de terceros que influyan en tu empresa?

En el propio artículo de SIRIUS Edge podemos encontrar puntos clave para montar un programa de auditoría y CISA (Cybersecurity & Infraestructure security agency) también menciona 5 puntos clave para la creación de programas de auditoría para amenazas internas [2]. Aunque estos mencionados sean interesantes he encontrado de mayor interés un artículo de LISA Instituto que da 21 puntos clave para detectar y prevenir insiders en tu organización [3]. En la foto podemos ver los 21 puntos que consideran claves. No voy a comentar todos los puntos ya que muchos creo que se explican por sí mismos. Me voy a centrar en el cómo desarrollar el programa formalizado de insider y en algunos puntos más que puedan resultar interesantes de hablar.

Crear un programa de insiders puede ser clave dentro de una empresa ya que proporciona un recurso que puede ayudar a abordar el problema de los insiders. El programa al final es una medida que adopta la empresa para detectar, prevenir y actuar de forma correcta frente a estas amenazas. LISA Institute menciona los componentes comunes que tienen estos programas según el CERT:

  • Programa formalizado y definido: Se tienen que definir la misión, las directrices a seguir, quienes son los encargados, la gobernanza y el presupuesto.
  • Participación de toda la organización: Es importante tener la participación de todos los componentes de la empresa para obtener datos que sean útiles en el programa.
  • Supervisión del cumplimiento y la eficacia del programa: Se crea un grupo que sirva como soporte al gerente del programa para generar nuevas ideas y cambios posibles en el programa. Para aprobar estos cambios y procedimientos que ha propuesto el equipo existe un grupo directivo. Es importante hacer evaluaciones anuales del programa, tanto desde dentro de la empresa como por parte de terceros.
  • Mecanismos y procedimientos de información confidencial: Se tiene que permitir que cualquiera pueda reportar alguna actividad sospechosa, pero que esa persona no salga perjudicada en el proceso.
  • Plan de respuesta a incidentes de amenazas internas: Se debe redactar un plan para gestionar las incidencias y alertas que surjan, como actuar, plazos de actuación y recursos necesarios.
  • Comunicación de eventos de amenazas internas: Es clave comunicar de estas alertas que vayan surgiendo siempre respetando la confidencialidad y la privacidad.
  • Protección de la libertades y derechos civiles de los empleados y clientes: Al implementar este programa se tiene que revisar cada proceso para asegurar que se respeta la privacidad de los implicados.
  • Políticas, procedimientos y prácticas: Redactar un documento detallando, la misión, el alcance, las directivas a seguir, las instrucciones y procedimientos estándar del programa.
  • Técnicas y prácticas de recogida y análisis de datos: Detallar qué técnicas de monitorización se van a realizar, así como que datos se van a recoger y cuál va a ser su tratamiento con tal de asegurar la privacidad de los datos.
  • Entrenamiento y concienciación sobre las amenazas internas: Es importante la creación de un programa de capacitación y concienciación. Creo que es un punto clave teniendo en cuenta que los empleados son los que realizan estos ataques muchas veces porque no están informados. La empresa tiene que informarles de que conductas son adecuadas y de cuáles no y concienciarse en cuanto a cómo repercute uno de estos incidentes en la empresa, en el mundo exterior e incluso en el propio empleado. En la página de CISA podemos encontrar videos, publicaciones e incluso enlaces a cursos que tratan el tema [4].
  • Infraestructura de prevención, detección y respuesta: Tener una infraestructura de defensa tanto física como en la red.
  • Prácticas de amenazas internas relacionadas con los socios comerciales de confianza: Revisar todos los contratos firmados con terceros para poder detectar posibles amenazas emergentes.
  • Integración de Insiders con la gestión de riesgos empresariales: En la gestión de riesgos se deben tener en cuenta las amenazas internas junto a todos los demás riesgos que puedan surgir en la empresa.

Entre los 21 puntos unos cuantos tratan el tema de la monitorización como por ejemplo el punto que habla de estar atentos a las redes sociales o las herramientas de monitorización de empleados. Creo que son clave a la hora de saber qué es lo que el empleado hace dentro de la empresa, pero también tiene su punto negativo y es que se puede llegar a atentar contra la privacidad del propio empleado. No sería el primer caso de despido por culpa de redes sociales y hasta cierto punto no tendría que afectar al puesto de trabajo de la persona. Se tiene que encontrar un punto de monitorización en el que la empresa sea capaz de detectar amenazas, pero sin llegar a privar al empleado de su privacidad, es decir un sistema donde el empleado esté a gusto y no sienta que le están invadiendo su espacio privado. Para ello es importante informar en todo momento al empleado de cómo se le monitoriza y qué información se recopila en ese proceso.

En conclusión, si miramos a los 21 puntos veremos que existen muchos pasos a seguir para mitigar estas amenazas, pero es importante ver hasta qué punto podemos realizar tareas de monitorización de empleados sin atacar directamente a su privacidad.

Otro punto que me ha parecido clave es el mantener un control estricto de los accesos que tienen los empleados a los sistemas y la información. Sólo permitir acceso a personas que lo necesitan hace que los datos y los sistemas no estén tan expuestos como si toda la empresa tuviese acceso a ellos. Buscando documentos relevantes sobre amenazas internas en Océano me ha sorprendido como gran parte de los artículos tratan este tema. Mencionar en concreto uno de Suhair Alshehri que habla sobre la importancia de mantener controlados los accesos en el sistema sanitario para evitar amenazas internas [5]. Algo que en una empresa puede suponer una brecha de datos en el sistema sanitario puede poner en juego la vida de las personas, por lo que es un tema clave. Debemos tener en cuenta que a diferencia de los atacantes externos los internos ya tienen credenciales y acceso a la zona de trabajo por lo que les estamos dando facilidades de fastidiarlo todo.

P.S: Investigando sobre el tema de los controles he encontrado un report de 2020 que contiene datos interesantes sobre las amenazas internas. Podría servir como complemento a lo ya tratado en el segundo post sobre la relevancia. [6]

REFERENCIAS

[1] <<5 Keys to Addressing Insider Threats>>, SIRIUS Edge, acceso el 21 de noviembre de 2020, https://edge.siriuscom.com/security/5-keys-to-addressing-insider-threats#:~:text=Two%20key%20controls%20for%20reducing,behavior%20by%20a%20single%20actor.

[2] <<ESTABLISH A COMPREHENSIVE INSIDER THREAT PROGRAM>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/establish-program

[3] <<Lista de 21 medidas para detectar y prevenir Insiders en tu organización>>, LISA Institute, acceso el 21 de noviembre de 2020, https://www.lisainstitute.com/blogs/blog/medidas-para-detectar-y-prevenir-insiders

[4] <<INSIDER THREAT – TRAINING & AWARENESS>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/training-awareness

[5] Suhair, Alshehri. 2016. << Using Access Control to Mitigate Insider Threats to Healthcare Systems>>. Paper. IEEE International Conference on Healthcare Informatics. Océano.

[6] <<Insider Threat Report>>, Cybersecurity Insiders, acceso el 22 de noviembre de 2020, https://www.cybersecurity-insiders.com/wp-content/uploads/2019/11/2020-Insider-Threat-Report-Gurucul.pdf




Persiguiendo la motivación

Desde pequeño, siempre he pensado que odiaba aburrirme y hace poco me he dado cuenta de que el problema no es tanto que odie el aburrimiento si no que odio hacer cosas que no quiera hacer o que no me motiven en absoluto. La vida dura lo que dura, es imposible saberlo a ciencia cierta, personalmente quiero disfrutar cada momento haciendo cosas que disfrute y me motiven. Mucha gente cree que disfrutar de la vida es salir de fiesta, irte con la novia o los amigos de vacaciones o hacer un montón de actividades que globalmente se consideran divertidas, pero para mí el simple hecho de escuchar la música que quiero, jugar a videojuegos, dar un paseo o comentar memes con los amigos ya es disfrutar del día a día. Es cierto que durante la vida tendremos que hacer cosas que no nos gusten y que no nos motiven en absoluto y eso hasta cierto punto está bien. El problema viene cuando esas cosas que no te motivan se establecen en tu rutina y empiecen a devorarte convirtiéndote en un ser lleno de negatividad. Por naturaleza, soy una persona muy negativa. Me es más fácil ver lo malo que lo bueno de las cosas, sobre todo cuando hablamos de cosas que no me motivan.

Hablemos del máster de Ingeniería informática. Para empezar, yo siempre he querido ser programador o diseñador de videojuegos, por ello me habría gustado haber cursado un grado dirigido a ese ámbito, pero por desgracia en España no son oficiales o son bastante caros. En ese momento no me importó ya que me gusta la informática y siempre había querido realizar la carrera de ingeniería. Mi idea siempre había sido una vez terminada la carrera realizar un máster sobre videojuegos, ya que era lo que me gustaba y en la carrera me he dado cuenta de que lo que me mueve y me motiva es el ocio y no me interesa nada el ámbito industrial. Pero, como pasa en las mejores familias, a los adultos no les parece buena idea hacer un máster en el que no tengas un título oficial porque si no, no podrás encontrar trabajo en el futuro. El problema radica en que al hacer algo que realmente no quieres, pierdes la motivación como me ha pasado a mí.

El perder la motivación no solo afecta eso que haces, si no que acaba afectando a tu día a día cada vez más. En mi caso el pensar que podría estar aprendiendo desarrollo de videojuegos hace que pierda el interés por las asignaturas que desarrollo en el máster. Muchas de las asignaturas no me motivan porque no son lo que quiero hacer y esa falta de motivación se va contagiando como una pandemia. Al perder la motivación entras en un estado de negatividad en el que incluso las asignaturas que podrías llegar a disfrutar te parecen poco interesantes y el prestar atención en clase se convierte en una tarea titánica ya que, aunque lo intentes al mismo tiempo tu mente lucha por abstraerse de la situación actual. Y no solo afecta a los estudios, sino también a la vida personal. Ya que poco a poco esa falta de motivación y negatividad hace que no tengas ganas de realizar tareas que antes encontrabas divertidas, ya sean de ocio o no. Me he dado cuenta de que mi problema es que no soporto sentir que podría estar haciendo algo que me guste más y eso me provoca ansiedad y entrar en un estado de negatividad que se extiende a todo lo que me rodea.

Siempre he pensado que al trabajar lo más importante es pensar en encontrar algo que te guste y donde te sientas a gusto, y cada día no hago más que confirmar esa idea. Conozco gente que quiere tener un gran puesto, para ganar mucho dinero, coche de la empresa y ese tipo de cosas, pero en mi caso siempre me he preguntado hasta qué punto merece la pena hacer algo que no te motiva con tal de tener más dinero. Prefiero vivir 30 años disfrutando, haciendo algo que me motive que vivir 90 en los que gran parte de mi vida se ha desperdiciado en un trabajo que no lleva a ninguna parte. Por esta razón siempre me he querido meter en el mundo de los videojuegos que son algo que me motivan y consiguen alegrar cualquier día. El curso anterior no hice más que reafirmar esta idea cuando trabajé en mi TFG. El TFG se basó en el desarrollo de un juego de misterio y aventura en Unity3D. Durante el desarrollo me di cuenta de que no es que yo sea una persona muy vaga, que también, si no que nunca había hecho un proyecto tan ilusionante como ese. Recuerdo levantarme y ponerme a trabajar sobre las 11 de la mañana y las 7 de la tarde decir que ya dejaría de trabajar para encontrarme luego a las 12 de la noche programando aún más líneas de código o redactando la memoria. Realmente es lo más ilusionante que hice en toda la carrera y donde me di cuenta de que cuando trabajas en algo que realmente adoras eres capaz de poner todo tu ser en ese proyecto y disfrutar de cada segundo del desarrollo.

Puede que parte del texto, sino todo, haya parecido muy negativo, pero por eso vamos a darle la vuelta a la tortilla. Cuando me di cuenta de en qué situación estaba, actúe. Una de las opciones siempre ha sido abandonar el máster, pero con el también tengo la oportunidad de seguir realizando las prácticas de Virtualware que tengo ahora mismo y no solo eso si no que me he dado cuenta de que tampoco le he dado una oportunidad. Eso se ha convertido en mi objetivo actual, en fijarme en lo bueno y darle una oportunidad a eso a lo que de primeras me he cerrado. Aunque pueda sonar a frase motivadora de internet, intentar ver las cosas con buenos ojos y darles una oportunidad funciona y para bien. Personalmente he decidido que mi objetivo en el máster ya no es solo conseguir un título, sino divertirme en el proceso. Esto me ha hecho replantearme varias asignaturas y ahora disfruto de cosas como Arquitectura del Software o incluso Sistemas de información Empresariales, este último siendo el caso más curioso. En SIE no me interesa tanto el temario, pero estoy encontrando cosas en la asignatura que creo que invitan a la reflexión personal y al crecimiento personal más allá de un aula o un entorno de trabajo.

En conclusión, decir que tenemos que dar una oportunidad a todo en esta vida y si creemos que no es para nosotros no pasa nada por elegir otro camino, todos son correctos siempre y cuando te hagan feliz y sean legales. Como consejo, cuando algo no os motive, más aún si sois personas que tiran a la negatividad como yo, intentad darle una vuelta de tuerca antes de descartar nada por completo y puede que os llevéis más de una sorpresa. Disfrutad de lo que os motiva.




Riesgos de las amenazas internas

Ya hemos hablado sobre qué son las amenazas internas en el primer post y en el segundo hemos comentado la importancia que tienen hoy en día. En este tercer post vamos a ver qué riesgos acarrean las amenazas internas. En el segundo se comento el tema monetario ya que salir de una de estas amenazas cuando se producen es muy caro, pero también trae consigo otros problemas más allá del dinero y que pueden ser a largo plazo.

Las amenazas internas están muy ligadas a los datos y a la ciberseguridad. Puede que el propio interno robe los datos y los saques de la empresa para venderlos, sacarlos a la luz o algún otro tipo de acto criminal. También puede crear una puerta de acceso a un cibercriminal, el cual si nos descuidamos puede llegar a hacerse con el control de la empresa de forma silenciosa y cuando nos demos cuenta ya no podremos echarle. Si el atacante externo consigue meterse en la empresa a través del interno pueden surgir infinidad de problemas muy serios.

Aunque la gran mayoría de riesgos sean muy peligrosos también los hay con menos importancia, todo depende que haga el atacante interno. Un riesgo de bajo nivel por ejemplo sería que el atacante robara los correos electrónicos de clientes, trabajadores e incluso de terceros y los vendiera a una empresa que los meta en su lista para enviarles spam. En este caso la probabilidad de que suceda podría ser alta ya que el spam es algo que se practica mucho y es sencillo hacerte con los correos electrónicos, pero, aunque sea probable el daño no sería muy grave ya que se trataría de simple spam algo que puede regularse y evitarse con filtros antispam de forma sencilla. Otro riesgo a tener en cuenta serían las filtraciones de información al ámbito público, con esto me refiero a filtrar información sobre productos sin anunciar o por ejemplo planos. Depende de la situación de la empresa puede ser de mayor o menor impacto, el ámbito que yo manejo son los videojuegos y en ese caso a finales del producto ni te expone a que una empresa copie tu producto. Pero si hablamos en casos como Intel, el hecho de que se filtre información sobre cómo funciona internamente tu nuevo modelo de procesador puede llegar a ser un gran golpe. Este mismo año hemos visto una filtración de más de 20GB de información de Intel y en videojuegos es el pan de cada día [1]. Podría decirse que el impacto es variable pero la probabilidad de que ocurra es muy alta.

Gran parte de los riesgos que surgen de estos atacantes pueden tener un impacto devastador en la empresa. Para empezar porque como ya hemos visto en los datos del post anterior pueden salirles caro monetariamente a la empresa. Microsoft menciona seis puntos clave sobre esto en el manual de Microsoft 360 [2].

  • Fugas de datos confidenciales y derrame de datos: Es un riesgo con impacto elevado y con una probabilidad muy alta. Buscando información sobre este tipo de amenazas es el riesgo más comentado. Al hablar sobre amenazas internas la fuga de datos es el problema número uno de la lista.
  • Violaciones de confidencialidad: Va un poco ligado al anterior, aunque no tiene porque haber una fuga, un interno podría simplemente acceder a información confidencial para su propio beneficio o el de terceros. Aquí también entraría el hecho de que el imponer medidas para evitar estas amenazas que puedan capar la privacidad del interno.
  • Robo de propiedad intelectual (PI): Ya lo he comentado al hablar sobre las filtraciones, puede ser devastador para una empresa perder o que su propiedad intelectual se haga pública.
  • Uso de información privilegiada: El acceso de los trabajadores y personas vinculadas a la empresa tendrían que estar capados según su nivel dentro de la misma. Un empleado con más acceso del necesario podría hacer uso de esta información privilegiada para realizar alguna de las anteriores acciones o incluso comer fraude.

Es fácil imaginarse el daño que puede crear un empleado a su propia empresa. Pensad que un empleado descontento podría incluso llegar a dañar el hardware de la propia empresa o los servidores y hacer que pierdan su infraestructura y con eso sus datos. Con la información a la que puede acceder si no se toman medidas de acceso adecuadas podría llegar a cometer fraude y robar millones a la empresa. Incluso podría utilizar los recursos de esta para actos criminales. Un simple empleado enfadado o descuidado puede causar muchos problemas a la empresa.

En conclusión, existen muchos riesgos asociados a las amenazas internas ya que los internos pueden ser capaces de realizar muchos tipos de actividades ilegales o no permitidas dentro de la empresa y causar un gran impacto dentro de la misma. En mi opinión diría que existen muchos riesgos de impacto muy alto asociados a este tipo de amenazas por lo que tenerlas bajo control es fundamental, los controles a aplicar será algo del próximo post.

Referencias

[1]<< Una filtración en Intel revela 20
GB de documentos internos confidenciales de la empresa>> , Xataka, acceso
el 3 de noviembre de 2020, https://www.xataka.com/seguridad/filtracion-intel-revela-20-gb-documentos-internos-confidenciales-empresa

[2]<< Insider risk management in
Microsoft 365>>, Microsoft, acceso el 3 de noviembre de 2020, https://docs.microsoft.com/en-us/microsoft-365/compliance/insider-risk-management?view=o365-worldwide




Crunch

Seguramente al leer el título estéis pensando en una chocolatina, pero os aseguro que el Crunch del que voy a hablar no queréis probarlo. El Crunch en la industria del videojuego hace referencia a un periodo de tiempo durante el desarrollo, semanas o incluso meses, en el que los trabajadores tienen que trabajar horas extra incluso días extra para que el juego esté terminado en la fecha prevista, lo que toda la vida se ha llamado explotación laboral. Pero tampoco hace falta llevarse las manos a la cabeza que las empresas pagan esas horas extra, ahora, cuanto cuesta estar semanas e incluso meses sin poder estar con tu familia o disfrutar de la vida en general. El problema no es que sean casos aislados si no que es algo que la industria a incorporado a su modelo de negocio convirtiendo el desarrollo de videojuegos en un negro abismo que te consume lentamente. Y es fácil encontrar ejemplos como Rockstar o el caso reciente de CDProjectRed, compañía que aseguró que no se daría esta situación en su desarrollo actual, pero, sorpresa ha ocurrido y aun pagando un extra y dando un 10% del beneficio a los empleados no creo que nada pague el tiempo perdido. Se han oído historias dignas de ser contadas en una hoguera en la noche de Halloween, como la historia de un compositor que dormía en un colchón en la oficina y su mujer e hija venían por la mañana a traerle el desayuno y poder verle durante un rato.

Como ya he comentado es una práctica que se ha enganchado como una lapa al desarrollo de videojuegos, está tan enganchado que la planificación ya se hace con el Crunch en mente. Es impresionante e indignante que a la hora de planificar tus fechas ya tengas en cuenta que vas a explotar a tus trabajadores, que son los que crean la obra y consiguen sacar adelante el proyecto. Pero no podemos culpar a los desarrolladores por una mala planificación, si no al Publisher y al alto cargo de la empresa que junto con el departamento de marketing ponen fechas que saben que perfectamente no son viables y con las que no pueden cumplir, a no ser que usen el viejo truco de las horas extra. Es aún más triste cuando estas horas extra no son “obligatorias”. Las comillas son claras, no te obligan a quedarte, pero probablemente tu compañero se quede e igual si no te quedas cuando termine el proyecto tienes que andar buscando un nuevo trabajo. Al final lo único que se consigue es crear un entorno de trabajo tóxico en el que los empleados viven para trabajar, no trabajan para vivir además de vivir con miedo de quedarse sin trabajo o no haber trabajado lo suficiente, y vivir con miedo no es vivir. Puede sonar extremo, pero la industria del videojuego funciona de esta manera, empezamos proyecto y al finalizarlo medio equipo desaparece de la plantilla sin importar el nivel de éxito. El ejemplo más rastrero de esto lo tenemos en Activision, por muchas vistas como el diablo de la industria, que tras unas noticias en las que hablaban sobre “su mejor año fiscal” decidieron que era buena idea despedir a miles de personas y que su presidente se subiera el sueldo por el “genial” trabajo que había hecho.

Cuando se empieza un desarrollo de un juego, normalmente estas emocionado porque vas a crear algo que la gente va a disfrutar y sientes que ese juego es como tu hijo. Pero qué pasa cuando de repente tienes que abandonar tu vida por ese proyecto, deja de ser emociónate dejas de tratarlo como tuyo y dejas de poner tu alma en él. Muchas empresas utilizan esta lógica de pertenencia para que los empleados piensen que están formando parte de algo único y suyo cuando realmente están vendiendo su alma al diablo. Como jugador quiero jugar algo que me emocione, un juego en el que pueda ver el alma de las personas que han trabajado en ello, y no su desesperación o tristeza. Y a los que no habéis jugado a muchos videojuegos os puedo asegurar sin dudar ni un momento que cuando alguien ha puesto cariño en un videojuego se nota y cuando ha estado explotado por una compañía que busca no perder compradores y mejorar sus beneficios también.

Es triste que esto ocurra y como jugador me entristece, pero nosotros también tenemos parte de culpa en este asunto, ya que el videojuego se sustenta en la cultura del Hype. Somos unos ansias y queremos tenerlo todo nada más se nos presenta delante y si no lo tenemos recurrimos a las redes sociales y a los foros para meter presión y exigir algo que no nos corresponde a nosotros. Todos los fans del medio hemos visto alguna vez una conferencia del E3 donde se ha mostrado al final un logo en llamas del próximo gran juego que todos queríamos, y todos hemos querido saber más sobre él y tenerlo en nuestras manos para poder disfrutarlo. El problema de haber adoptado esta cultura es que las compañías no son tontas y saben que tienen que mantener este hype y que si el juego no sale la fecha prevista muchos jugadores se le echarán encima con quejas porque no pueden jugar a ese juego que tanto quieren. En mi caso he conseguido salir de esa hecatombe de imbecilidad y darme cuenta de que hay personas detrás de estos productos. El tema se pone más grave cuando hablamos de los denominados “juegos como servicio”. Se trata de juegos online que van actualizándose constantemente y requieren que el jugador esté enganchado en todo momento. ¿Cómo se engancha al jugador? Con actualizaciones constantes, las cuales tienen que hacerse en tiempo récord lo que nos lleva al problema otra vez. Como ejemplo de esto tenemos Fortnite, si entramos en los tweets de la compañía veremos un montón de comentarios exigiendo actualizaciones las cuales son desarrolladas a través de Crunch para poder tenerlas lo antes posible.

No creo que no comprar el juego sea una solución a esto ya que hay mucha gente que depende de ese dinero y porque el producto puede ser bueno y no debemos menospreciar ese trabajo en absoluto. A lo que yo he llegado, es a que tenemos que relajarnos con este tema y denunciar públicamente estos comportamientos mostrando a las compañías que no nos importa que se retrase siempre y cuando las personas a cargo del desarrollo puedan trabajar en él cómodamente. Es que hay que ser tonto para no darse cuanta de que si los desarrollares trabajan a gusto y contentos el producto final será mejor que un producto realzado a todo correr y a costa de personas.

En conclusión, tras la tremenda chapa, las empresas tendrían que empezar a pensar más en sus empleados y los jugadores tendremos que dejar de exigir rapidez y exigir que traten a sus empleados como nos gustaría a nosotros que nos tratasen. Tendríamos que usar las redes sociales para promover este cambio y decirles a las desarrolladoras que podemos esperar y que no queremos juegos que hayan podido costar la salud mental de ninguna persona. Me jode mucho escribir este texto porque amo los videojuegos y me hacen sentir de formas que nunca me he sentido antes, pero la situación actual es la que es y negarla sería dejarse llevar y aceptar la situación actual como valida.Es cómico como aún tras este textaco poniendo a parir la industria sigo queriendo entrar de lleno en ella y hacer que la gente siga disfrutando de este arte.




La importancia de las amenazas internas

En el anterior post hable sobre que eran las amenazas internas y trate el tema de forma general dando pequeñas pinceladas sobre el tema. Durante el texto se habló sobre la importancia de minimizar estas amenazas y la importancia que este tenía. En este post ahondare en esto haciendo uso de ejemplos prácticos y datos relevantes que muestren la gran importancia que tiene mantener a raya las amenazas internas en las organizaciones. Al hablar de algún caso, ahondar en datos globales, ver qué organismos están interesados en el tema y que toolkits existen os daréis cuenta de cómo es de vital importancia mantener a raya las posibles amenazas internas que puedan surgir, ya sean intencionadas o no.

Para empezar a ver la importancia de estas amenazas voy a empezar con un enfoque más global haciendo uso de diversos datos recogidos recientemente. En concreto me voy a centrar en el informe del Instituto Ponemon “Coste 2020 de las amenazas internas: Global”. Se trata de un informe que abarca 12 meses sacado a principios de año por lo que gran parte de los datos serán del 2019. En este se detecta que en dos años la frecuencia de estos incidentes ha aumentado un 47% contabilizando en este informe un total de 4.716 incidentes. En el anterior post ya comenté un poco que esto podía deberse a la velocidad en la que la tecnología avanza lo cual hace que surjan más amenazas y más posibilidades. Las empresas se han dado cuenta de la importancia de contener las amenazas por lo que se ha visto un crecimiento del 86% en la dedicación de investigar porque surgen y cómo pararlas. El coste de una de estas amenazas, según indica el informe, es diferente dependiendo del tiempo que haga falta emplear para neutralizarla. Una compañía hace un desembolso de más o menos €12.57 millones al año cuando una amenazada dura más de 90 días, siendo 77 el promedio de días que se tarda en contener estas amenazas. En el informe y en la noticia enlazada en las referencias, de donde salen estos datos, se muestra mucha más información, pero para resaltar un apunte final decir que el desembolso de una compañía grande es de unos €16.42 millones al año en este tipo de amenaza y €7.04 millones el de una pequeña. Son cifras que deberían llamar nuestra atención y la de las empresas para empezar a poner el foco en este tipo de amenazas.[1][2]


Viendo un caso de ejemplo es la mejor manera de entender el impacto que puede tener sobre la empresa. En mi caso, he elegido un hecho acontecido a la empresa Canadiense Shopify Inc. Con sede en Ottawa, Ontario. Es una empresa que se centra en el comercio electrónico y ofrece un portal web donde las tiendas pueden vender sus productos [3]. La noticia a comentar data del 23 de septiembre de este mismo año y es que ese mismo mes Shopify se vio envuelta en una brecha de datos por culpa de unos empleados del grupo de soporte que robaron datos de unos 200 comerciantes. La propia compañía asegura que no ha sido un tema de vulnerabilidad de datos si no que un ataque por parte de los dos empleados. Han conseguido datos de las compañías que utilizan el servicio y de ahí también se ha podido acceder a listas de clientes. La buena noticia es que por lo que se sabe no se ha filtrado ningún tipo de tarjeta de crédito ni datos de pago, pero imagina por un momento que alguien consigue datos bancarios de miles de personas. Si se diera el caso, podría ser un gran golpe para las empresas, para Shopify y para toda la gente que ha dejado su información bancaria dentro del servicio, podría suponer que alguien ajeno a la empresa pierda tanto sus datos como verse afectado monetariamente. Aunque es cierto los datos que han obtenido aún no ser de gran riesgo pueden ser usados para enviar spam y correos maliciosos a los afectados. En el artículo destaca que Shopify fue rápida a la hora detectar la brecha, desautorizar a los atacantes, despedirlos y seguir investigando el asunto ahora a manos del FBI. Por lo que parece no se deben de haber utilizado los datos obtenidos, pero nunca se sabe lo que podría llegar a pasar. La compañía resalta que estas amenazas son de las peores ya que dan muy mala imagen a la compañía y que son un tipo de amenaza en la que siempre que depositas tu confianza en un empleado te estás arriesgando. Además, ahora en época de Covid les ha resultado más difícil controlar el comportamiento de tus empleados para saber si pueden ser una amenaza. El propio artículo menciona otro caso en el que un atacante ofreció $1 millón a un empleado de Tesla por poner un ransomware de forma intencionada. [4]

Sería raro dudar de la importancia cuando septiembre se considera el “National Insider Threat Awareness Month”. Se trata de un esfuerzo colaborativo entre distintas organizaciones para enfatizar y dar la importancia que merece a la documentación, detección y mitigación de estas amenazas. Este año se han centrado en la elasticidad a la hora de recuperarse de este tipo de amenazas [5]. En un artículo de itgovernance hablan sobre la importancia de la ISO27001 para controlar o evitar estas amenazas. La ISO27001 es un estándar de mejores prácticas para gestionar la seguridad de la información. Este estándar va más allá de nuestro tema, pero como se comenta en el artículo es importante aplicarla ya que tener la información interna segura y controlada puede evitar que un atacante interno acceda a ella y pueda utilizarla en contra de la empresa [6]. También existen varios toolkits a usar, como por ejemplo el que ofrece CDSE (Center for Development of Security Excellence). Este toolkit está abierto y disponible para ver sin ninguna restricción. En él podremos acceder a varios topics donde tendremos pdfs con las best practices e información importante para que podamos establecer nuestro propio programa de contención. Es interesante ver todos los puntos que trata el toolkit para entender a la perfección cómo funcionan estas amenazas y cómo tocan muchos temas críticos dentro de la empresa. [7]

En conclusión, podríamos decir que la importancia de intentar contener y evitar estas amenazas es alta. Es cierto que hacerlo puede ser costoso pero una incidencia de este tipo puede suponer un gran golpe para la empresa y costarle bastante dinero. Además, las mejoras en seguridad que se apliquen para este tipo de amenazas también pueden ser de utilidad frente a amenazas externas.

REFERENCIAS

[1]<< Amenazas internas: cuando el peligro está en tu propia empresa>>, Interbel, acceso el 19 de octubre de 2020, https://www.interbel.es/amenazas-internas/#:~:text=Las%20organizaciones%20más%20grandes%20(más,de%20euros%20en%20amenazas%20internas

[2]<< 2020 Cost of Insider Threats Global Report>>, Observeit, acceso el 19 de octubre de 2020, https://www.observeit.com/cost-of-insider-threats/

[3]<<Shopify>>, Wikipedia, acceso del 19 de octubre de 2020, https://en.wikipedia.org/wiki/Shopify

[4]<<Shopify Insiders Attempted to Steal Customer Transactional Records>>, Infosecurity https://www.infosecurity-magazine.com/news/shopify-insiders-records/

[5]<<Insider Threat Awareness Month: Expect the Unexpected>>, Homeland Security Today, acceso el 19 de octubre de 2020https://www.hstoday.us/subject-matter-areas/airport-aviation-security/insider-threat-awareness-month-expect-the-unexpected/

[6]<<Use ISO27001 to combat the insider threat, experts say>>, itgovernance, acceso el 19 de octubre de 2020, https://www.itgovernance.co.uk/media/press-releases/use-iso27001-to-combat-the-internal-threat-expert

[7]<< Insider Threat Toolkit>>, CDSE, acceso el 19 de octubre de 2020, https://www.cdse.edu/toolkits/insider/index.php




Un lobo en el rebaño

Cuando queremos proteger nuestra empresa de los atacantes que nos intentan robar información, es muy fácil mirar al exterior y buscar manera de no dejarlos entrar, el problema surge cuando el atacante ya está dentro. Muchas veces los atacantes son los propios integrantes de la empresa que ya sea de forma intencionada o no provocan brechas de información muy costosas para las empresas que además podría contener información privada de terceros. Este es un problema serio y que según pasan los años se está acentuando más. Por lo que he podido leer sobre unos estudios de Verizon, en 2016 un 25% de las empresas sufrieron por culpa de este tipo de amenazas y en 2018 aumentó a un 34% [1]. Lo más probable es que siga aumentando durante los años y sobre todo este 2020 debido a la implementación del modelo de trabajo remoto. Cada vez la gente es más consciente de la tecnología, lo que es bueno ya que puede concienciar a algunos, pero también puede facilitar a otros el dañar a la compañía.

estadisticas_indierThreats

A la hora de controlar estas situaciones es importante saber detectar qué tipo de empleados son los que provocan estos problemas. Cada tipo de atacante interno tiene sus maneras de generar problemas y cada uno tenemos que neutralizarlo de forma diferente. Creo que en muchas ocasiones este tipo de brechas se dan por empleados despreocupados, es decir los que ignoran cualquier norma de seguridad que les impone la empresa. Por sorprendente que parezca es muy sencillo que provoques una brecha de seguridad simplemente instalándose una aplicación sin autorización o insertando el pendrive que traes de tu casa. Otro agente importante que puede no actuar de forma maliciosa son los terceros. En este caso compradores, vendedores o empresas que contrates para servicios específicos. Una brecha en sus sistemas y puedes verte arrastrado al fango. Por otro lado, están los agentes claramente maliciosos, como podrían ser empleados enfadados con la empresa, agentes enviados por terceros o empleados que buscan sacar beneficio personal de los datos robados. [1]

Estoy seguro de que hay muchos, igual que a mí, se nos ocurren muchas maneras posibles para parar estas amenazas, pero el problema llega cuando la solución tiene que respetar la privacidad de los empleados. Sería muy sencillo, chequear a todos los empleados cuando entran y salen de la empresa o monitorizar cada clic que realizan durante el turno de trabajo, pero está claro que estas medidas no respetan en absoluto al empleado. En esto en concreto está el mayor reto de todos, en definir qué limites tiene la monitorización o control de los empleados para que se pueda respetar su privacidad.

Como alumno no he tenido experiencia en este ámbito, pero sí conozco experiencias de trabajadores en empresas donde tampoco existe una concienciación sobre el tema. Se podría decir que, en algunas empresas, la empresa en sí puede tener parte de la culpa. En un artículo de 2016 se comenta que solo el 26% de empresas tienen un programa para controlar estas amenazas [2] y aunque este porcentaje habrá subido con los años sigue siendo un problema vigente. Si pensamos en una compañía en la que los empleados no tienen conocimientos informáticos, como se supone que tenemos que confiar en que sepan andar con ojo a la hora de usar sus sistemas. Si yo preguntase en mi familia si meterían un pendrive cualquiera en el ordenador de su trabajo, la respuesta probable sería que si porque no tienen conocimiento sobre que conlleva el hacerlo. Hay un ejemplo claro que seguramente muchos hayamos vivido en casa, cuando dejamos un ordenador a nuestros padres y resulta que nos han instalado muchísimos plugin publicitarios o programas basura. Es tan sencillo como imaginar la repercusión de esto en una empresa multimillonaria que guarda datos importantes tanto suyos como de terceros donde la repercusión sería la pérdida de millones. 

Solo tenemos que ver los datos para darnos cuenta de la repercusión. The Ponemon Institute detalló en un estudio de 2018 que este tipo de incidentes podrían costarle unos $513.000 a una empresa, pudiendo al año llegar a costar $8.76 millones. Y si miramos a los datos de Accenture y Ponemon, que se reflejan en el artículo de Ekransystem [1], el coste de este tipo de amenazas es cada vez mayor con los años.

Ya he comentado al principio que el confinamiento ha incluso aumentado la amenaza ya que la gente ha estado trabajando desde sus ordenadores personales donde la empresa no puede controlar qué software está instalado y a que lugares accedes con él, aparte de añadir que gran parte de la gente no vive sola por lo que por ese ordenador pasan más personas que el empleado.

Para finalizar, pero sin entrar en detalle ya que será un tema a tratar en futuros post, comentar por encima unas claves que da ISACA para mitigar las amenazas. Ser prudentes a la hora de contratar empleados, tener políticas y procedimientos actualizados, entrenamiento de los empleados en el tema, mantener una cultura apropiada dentro de la organización y la monitorización de empleados respetando la privacidad del empleado [3]. Lo que a mi me queda claro es que, aunque también sea un problema informático y de TI, tiene mucha importancia el comportamiento humano y el saber entender cómo funcionan las personas de tu organización. El factor humano es clave para disminuir esta amenaza.

[1] << Insider Threat Statistics for 2020: Facts and Figures>>, Ekransystem, acceso el 30 de Septiembre de 2020, https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures

[2] Rudolf Carson. << Fighting the Insider Threat >>. Articulo. 27 de agosto de 2016. Silo.Tips.

[3] << Mitigating the Insider Threat>>, ISACA, acceso el 30 de Septiembre de 2020, https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2017/mitigating-the-insider-threat