Revelan la psicología detrás del robo de propiedad intelectual
Los informantes internos maliciosos por lo general roban información a la que están autorizados a acceder.
MOUNTAIN VIEW, CALIFORNIA (11/DIC/2011).-
Symantec dio a conocer su nuevo informe: ''Indicadores de Riesgo en la Conducta de los Ladrones Internos de Propiedad Intelectual: Leyendo Erróneamente lo Escrito en la Pared''. El informe aborda el alto nivel de ansiedad en las organizaciones que rodea al posible robo de información importante, confidencial e intelectual o de datos críticos similares por parte de los empleados y describe lo que se conoce sobre las personas y las condiciones en las organizaciones que contribuyen a este riesgo. El informe de investigación fue redactado por el Dr. Eric Shaw y el Dr. Harley Stock, expertos en el campo de la elaboración de perfiles psicológicos y de gestión de riesgos relacionados con los empleados.
“La mayoría de las organizaciones son conscientes de las amenazas de seguridad planteadas por extraños y factores externos, pero los informantes maliciosos o ladrones dentro de sus propio equipo pueden plantear un riesgo aún mayor. Sin embargo, en esta era de globalización, las compañías y entidades gubernamentales de todos los tamaños están reconociendo la expansión de los desafíos sobre la protección de su activo más preciado–su propiedad intelectual–frente a su competencia”, señaló Francis deSouza, Presidente del Grupo de Productos y Servicios Empresariales, Symantec.
El robo de propiedad intelectual cuesta a las empresas en Estados Unidos más de 250 mil millones de dólares por año y los informes del FBI confirman que los informantes internos constituyen la parte más importante de los esfuerzos de los competidores o enemigos para robar datos confidenciales y son la principal fuente de las filtraciones o fugas de datos. Con base en una revisión de investigaciones empíricas, el Dr. Stock y el Dr. Shaw han identificado las conductas e indicadores clave que contribuyen al robo de propiedad intelectual (PI) por parte de informantes internos maliciosos. Los patrones más contundentes que se observaron incluyen:
• Los ladrones internos de PI por lo general ocupan puestos técnicos - La mayor parte del robo de PI la realizan empleados actuales hombres que promedian los 37 años de edad y que ocupan puestos tales como los de ingenieros o científicos, gerentes y programadores. Un gran porcentaje de estos ladrones habría celebrado contratos de PI. Esto indica que la política sola, sin comprensión por parte del empleado ni aplicación eficaz, no es efectiva.
• Por lo general, los ladrones internos de PI ya tienen un nuevo trabajo - Aproximadamente el 65% de los empleados que cometen robo de PI dentro de la empresa ya habían aceptado cargos en una compañía de la competencia o iniciado su propia compañía al momento del robo. Aproximadamente el 20% fue contratado por un extraño cuyo objetivo eran los datos y el 25% entregó la PI robada a una compañía o país extranjeros. Asimismo, más de la mitad roba los datos dentro del mes anterior a abandonar la empresa.
• Los informantes internos maliciosos por lo general roban información a la que están autorizados a acceder - Los sujetos toman los datos que conocen, con los que trabajan y muchas veces sienten, de alguna manera, que tienen derecho a ellos. De hecho, el 75% de los informantes internos robó material al que tenía acceso.
• Los secretos comerciales constituyen el tipo de PI más común robado por informantes internos - En el 52% de los casos se robaron secretos comerciales. Se robó información comercial tal como información sobre facturación, listas de precios y otros datos administrativos en el 30% de los casos, así como también códigos fuente (20%), software patentado (14%), información de clientes (12%) y planes comerciales (6%).
• Si bien los informantes utilizan medios técnicos para robar PI, la mayor parte del robo la descubre el personal no técnico - La mayoría de los sujetos (54%) utilizan una red--correo electrónico, canal de acceso de red remoto o transferencia de archivos por red—para transferir o eliminar los datos robados. Sin embargo, la mayor parte del robo de PI dentro de la empresa fue descubierto por personal no técnico.
• Existen patrones clave del informante interno anteriores a su salida y al robo – Antes de los robos dentro de la empresa suelen presentarse problemas habituales que por lo general contribuyen a la motivación del informante para actuar en perjuicio de la organización. Estos aceleradores del robo de PI forman parte de las predisposiciones psicológicas personales, eventos estresantes y conductas preocupantes que son indicadores de riesgo de informantes internos.
• Los fracasos profesionales pueden utilizarse para rastrear rápidamente a informantes que piensan robar PI - El robo por parte de informantes internos se acelera cuando el empleado se cansa de “reflexionar” y decide actuar o terceros le piden que lo hagan. Este hecho por lo general tiene lugar tras la percepción de una derrota o fracaso profesional o de expectativas no cumplidas.
El informe incluye también recomendaciones pragmáticas para gerentes y personal de seguridad relacionadas con el riesgo de robo intelectual, incluyendo:
• Crear un equipo. Para abordar ampliamente el robo por parte de informantes internos, las organizaciones deben contar con un equipo dedicado formado por personal de recursos humanos, seguridad y expertos legales, cuyo objetivo sea la creación de políticas, el impulso de capacitaciones y el monitoreo de empleados problemáticos.
• Temas organizacionales. Las organizaciones deben evaluar si están expuestas a un mayor riesgo debido a factores inherentes–moral de los empleados, riesgo competitivo, operaciones de adversarios, locales en el extranjero, uso de contratistas locales, etc.
• Selección previa a la contratación. La información recopilada durante el proceso de selección ayudará a los gerentes de contrataciones a tomar decisiones informadas y a mitigar el riesgo que implica contratar a un empleado “problemático” o con antecedentes que pueden poner en riesgo a la organización.
• Políticas y prácticas. Se refiere a tener una lista de verificación políticas y prácticas de áreas específicas que debe cubrirse dentro de las estructuras de operación básicas de una organización.
• Capacitar y educar. La capacitación y educación sobre los riesgos informáticos son fundamentales para la efectividad de las políticas ya que las políticas y las prácticas que no se conocen, comprenden o respetan pueden tener una efectividad limitada. Por ejemplo, la mayoría de los ladrones de PI han firmado contratos de PI. Por ello, las organizaciones deberían mantener conversaciones más directas con los empleados sobre qué datos son transferibles o no en caso de abandonar la empresa, y las consecuencias de que un colaborador viole dichos contratos o acuerdos.
• Evaluaciones constantes. Sin un monitoreo y una aplicación que resulten efectivos, es probable que se observe una falta de cumplimiento y aumento del riesgo de informantes internos.
El robo de propiedad intelectual cuesta a las empresas en Estados Unidos más de 250 mil millones de dólares por año y los informes del FBI confirman que los informantes internos constituyen la parte más importante de los esfuerzos de los competidores o enemigos para robar datos confidenciales y son la principal fuente de las filtraciones o fugas de datos. Con base en una revisión de investigaciones empíricas, el Dr. Stock y el Dr. Shaw han identificado las conductas e indicadores clave que contribuyen al robo de propiedad intelectual (PI) por parte de informantes internos maliciosos. Los patrones más contundentes que se observaron incluyen:
• Los ladrones internos de PI por lo general ocupan puestos técnicos - La mayor parte del robo de PI la realizan empleados actuales hombres que promedian los 37 años de edad y que ocupan puestos tales como los de ingenieros o científicos, gerentes y programadores. Un gran porcentaje de estos ladrones habría celebrado contratos de PI. Esto indica que la política sola, sin comprensión por parte del empleado ni aplicación eficaz, no es efectiva.
• Por lo general, los ladrones internos de PI ya tienen un nuevo trabajo - Aproximadamente el 65% de los empleados que cometen robo de PI dentro de la empresa ya habían aceptado cargos en una compañía de la competencia o iniciado su propia compañía al momento del robo. Aproximadamente el 20% fue contratado por un extraño cuyo objetivo eran los datos y el 25% entregó la PI robada a una compañía o país extranjeros. Asimismo, más de la mitad roba los datos dentro del mes anterior a abandonar la empresa.
• Los informantes internos maliciosos por lo general roban información a la que están autorizados a acceder - Los sujetos toman los datos que conocen, con los que trabajan y muchas veces sienten, de alguna manera, que tienen derecho a ellos. De hecho, el 75% de los informantes internos robó material al que tenía acceso.
• Los secretos comerciales constituyen el tipo de PI más común robado por informantes internos - En el 52% de los casos se robaron secretos comerciales. Se robó información comercial tal como información sobre facturación, listas de precios y otros datos administrativos en el 30% de los casos, así como también códigos fuente (20%), software patentado (14%), información de clientes (12%) y planes comerciales (6%).
• Si bien los informantes utilizan medios técnicos para robar PI, la mayor parte del robo la descubre el personal no técnico - La mayoría de los sujetos (54%) utilizan una red--correo electrónico, canal de acceso de red remoto o transferencia de archivos por red—para transferir o eliminar los datos robados. Sin embargo, la mayor parte del robo de PI dentro de la empresa fue descubierto por personal no técnico.
• Existen patrones clave del informante interno anteriores a su salida y al robo – Antes de los robos dentro de la empresa suelen presentarse problemas habituales que por lo general contribuyen a la motivación del informante para actuar en perjuicio de la organización. Estos aceleradores del robo de PI forman parte de las predisposiciones psicológicas personales, eventos estresantes y conductas preocupantes que son indicadores de riesgo de informantes internos.
• Los fracasos profesionales pueden utilizarse para rastrear rápidamente a informantes que piensan robar PI - El robo por parte de informantes internos se acelera cuando el empleado se cansa de “reflexionar” y decide actuar o terceros le piden que lo hagan. Este hecho por lo general tiene lugar tras la percepción de una derrota o fracaso profesional o de expectativas no cumplidas.
El informe incluye también recomendaciones pragmáticas para gerentes y personal de seguridad relacionadas con el riesgo de robo intelectual, incluyendo:
• Crear un equipo. Para abordar ampliamente el robo por parte de informantes internos, las organizaciones deben contar con un equipo dedicado formado por personal de recursos humanos, seguridad y expertos legales, cuyo objetivo sea la creación de políticas, el impulso de capacitaciones y el monitoreo de empleados problemáticos.
• Temas organizacionales. Las organizaciones deben evaluar si están expuestas a un mayor riesgo debido a factores inherentes–moral de los empleados, riesgo competitivo, operaciones de adversarios, locales en el extranjero, uso de contratistas locales, etc.
• Selección previa a la contratación. La información recopilada durante el proceso de selección ayudará a los gerentes de contrataciones a tomar decisiones informadas y a mitigar el riesgo que implica contratar a un empleado “problemático” o con antecedentes que pueden poner en riesgo a la organización.
• Políticas y prácticas. Se refiere a tener una lista de verificación políticas y prácticas de áreas específicas que debe cubrirse dentro de las estructuras de operación básicas de una organización.
• Capacitar y educar. La capacitación y educación sobre los riesgos informáticos son fundamentales para la efectividad de las políticas ya que las políticas y las prácticas que no se conocen, comprenden o respetan pueden tener una efectividad limitada. Por ejemplo, la mayoría de los ladrones de PI han firmado contratos de PI. Por ello, las organizaciones deberían mantener conversaciones más directas con los empleados sobre qué datos son transferibles o no en caso de abandonar la empresa, y las consecuencias de que un colaborador viole dichos contratos o acuerdos.
• Evaluaciones constantes. Sin un monitoreo y una aplicación que resulten efectivos, es probable que se observe una falta de cumplimiento y aumento del riesgo de informantes internos.
No hay comentarios:
Publicar un comentario