La visibilidad de los ataque de hacker cambiando páginas web, saboteando algún sitio, entrando subrepticiamente a la NASA u otra organización gubernamental, junto al explosivo aumento del fraude a través de canales internet o el robo de datos de consumidores por atrevidos atacantes, han tendido una cortina de humo a un problema presente desde siempre: el del enemigo interno.

La palabra resulta dura: enemigo. Su sola mención parece herir algo en lo que queremos creer: que todos quienes trabajan con nosotros son personas confiables y correctas. La verdad es que los delincuentes que nos rodean son pocos. La mayor parte de la gente es gente correcta y que quiere hacer lo correcto.

Pero más allá de estas palabras, el fenómeno existe y no tiene una sola cara. El enemigo interno, entendido como quién está dispuesto (por lucro, razones ideológicas o resentimiento) a hacer algo contra la organización donde trabaja es una realidad.

Pero además, existe ese otro actor (la palabra enemigo para él es dura, pero la usaremos simplemente para no enredar más las cosas), el que es negligente y facilita la labor del verdadero enemigo interno; el que se convence a sí mismo que no tiene nada de malo llevarse la información de la empresa cuando se va; el que por ingenuidad facilita el desastre. En una encuesta de Ponemon Institute, el 59% de ex ejecutivos de empresas en Estados Unidos admitió haber robado información confidencial de su empleador producto del descontento por su despido.

La crisis no hace sino empeorar las cosas: despidos, presión financiera por pagar las deudas, desesperación. Malos ingredientes que alguien puede aprovechar. Por otro lado, la sofisticación del crimen organizado ha tendido sus tentáculos al interior de las organizaciones. Es más sencillo conseguir la participación de un interno para acceder a un sistema que para acceder a un bóveda. El fraude a cajeros ATM con un software desarrollado en Rusia, requirió de la colaboración de un enemigo interno. Los fraudes en sistemas de adquisición, pago a proveedores son otro ejemplo, menos glamoroso, pero más frecuente.

La pregunta es qué hacer. La tecnología tiene algo que decir. Sistemas para control de fuga de información, para monitoreo de transacciones en SAP, para monitoreo de actividad de usuarios con privilegios, para control de acceso en redes internas son parte de la batería de tecnologías que minimizan el delito interno.

Sin embargo, deben ser complementadas por una estrategia de control clara y orientada al riesgo, que permita identificar los activos de mayor riesgo, las amenazas más relevantes y racionalizar las inversiones. Las soluciones resultantes, deben hacerse cargo de integrar diferentes tecnologías en una mirada única y complementaria y apoyada por los procesos que permiten obtener el máximo de rendimiento.

La urgencia es hacerse cargo del problema en forma global y establecer una estrategia por lo menos de mediano plazo para monitorear y enfrentar el tema.