Creación de

un programa
eficaz para la
administración de
los riesgos internos
Índice
3 Resumen ejecutivo

5 El panorama de riesgos internos

8 Creación de un programa de administración de riesgos internos

12 Caso práctico simulado: robo de datos confidenciales por parte de los empleados que salen
de la organización

19 Contactos

2 Creación de un programa eficaz para la administración de los riesgos internos

 Resumen ejecutivo
a digitalización del ecosistema empresarial ha generado nuevas oportunidades para

L el crecimiento y la transformación de las organizaciones en todas las industrias. Esta

revolución digital también introdujo nuevos riesgos para las operaciones empresariales
a medida que las amenazas de ciberseguridad evolucionan y proliferan.
Si bien las organizaciones han priorizado durante mucho tiempo los riesgos externos de
ciberseguridad, muchos de ellos ahora están considerando los riesgos que plantean los
infiltrados internos de confianza debido al daño potencialmente mayor que pueden causar.
En consecuencia, las organizaciones están comenzando a reconocer la importancia de
establecer controles para combatir los riesgos internos.
Varios incidentes de alto perfil atribuidos a los infiltrados han contribuido a una mayor
conciencia. Los ejemplos recientes incluyen el robo de datos confidenciales de una empresa
tecnológica líder y el sabotaje de las operaciones de un fabricante de automóviles.
Independientemente de la industria, los impactos de los incidentes con información privilegiada
son potencialmente devastadores, y financieramente elevados. El costo promedio de los
incidentes con información privilegiada ha subido a USD 8,76 millones, según un estudio del
Ponemon Institute1.
En general, la ciberseguridad ha evolucionado de una función centrada en la tecnología de la
información (TI) a un problema de administración de riesgos en toda la organización. Si bien
la administración de riesgos internos está evolucionando de manera similar, las estrategias
actuales de adopción del mercado enfatizan el uso de herramientas y tecnologías adicionales
para abordar los riesgos internos sin incluir los principios subyacentes de la administración
de riesgos2

USD 8,76 millones

El costo promedio de los incidentes con información
privilegiada en las industrias1

El 50 % de las organizaciones han experimentado

incidentes con información privilegiada y la frecuencia ha
aumentado con el tiempo2

1
The Ponemon Institute, “2018 Cost of Insider Threats: Global Organizations” (El costo de las amenazas internas 2018: organizaciones
globales), abril de 2018.
2
Crowd Research Partners, “Insider Threat 2018 Report” (Informe de amenazas internas de 2018), 2018.

3 Creación de un programa eficaz para la administración de los riesgos internos

Estas herramientas a menudo generan
una avalancha de datos (y ruido) que
confunde la actividad real de riesgos
internos. Un enfoque más específico que
se centra en escenarios clave de riesgos
internos puede ayudar a reducir el ruido
y permitir que las organizaciones aborden
rápidamente los riesgos.
Para ello, se requiere un enfoque que se
centre en elementos no técnicos, como la
gobernanza y la directiva, para guiar la
implementación eficaz de las herramientas
técnicas. Es improbable que las
organizaciones que omiten estos
componentes no técnicos maximicen el
valor de sus inversiones en tecnología
y se frustren con su producción.
La implementación de herramientas
y tecnología debe seguir la identificación
de componentes no técnicos, y no
a la inversa.
Los programas exitosos de administración
de riesgos internos se basan en un marco
que identifica los riesgos internos, toma
medidas rápidamente contra esos riesgos
y madura el programa a través de
iteraciones progresivas. Este documento
traza el recorrido que las organizaciones
deben seguir para combatir con éxito los
riesgos internos. También incluimos un
caso práctico simulado sobre cómo la
herramienta Administración de riesgos de
Insider en Microsoft 365 puede ayudar
a abordar el robo de datos confidenciales
por parte de los empleados salientes.

4 Creación de un programa eficaz para la administración de los riesgos internos

El panorama de riesgos internos
Definición de interno
L
os infiltrados internos se definen
comúnmente como miembros de
la fuerza de trabajo de una
organización o como socios
comerciales, actuales o anteriores, con
acceso autorizado o conocimiento de los
activos, las instalaciones, la información
o las personas de una organización.
Tipos primarios de riesgos internos
Los riesgos internos suelen abarcar cinco
categorías: espionaje, fraude, pérdida de activos
empresariales confidenciales (intencionados
o involuntarios), sabotaje y violencia física.
Los riesgos internos varían según la industria.
En la atención de salud, el fraude interno es el
tipo de riesgo que se cita con más frecuencia4,
mientras que el sabotaje representa el mayor
riesgo para las empresas de TI.5
3
Carnegie Mellon University, “CERT Definition of ‘Insider Threat’
Updated” (Actualización de la definición de CERT de la "amenaza
interna"), 7 de marzo de 2017
4
Carnegie Mellon University, “Insider Threats in
Healthcare“ (Amenazas internas en la salud), febrero de 2019.
https://insights.sei.cmu.edu/insider-threat/2019/02/insider-threats-in-
healthcare-part-7-of-9-insider-threats-across-industry-sectors.html
5 Creación de un programa eficaz para la administración de los riesgos internos
Las acciones de los infiltrados internos
pueden ser intencionalmente maliciosas
o involuntariamente malévolas; independiente
de la intención, pueden causar un daño
significativo. El equipo de preparación para
emergencias informáticas del Instituto de
Ingeniería de Software de la Universidad de
Carnegie Mellon (CMU CERT), una institución
líder de investigación de riesgos internos,
incluye motivaciones intencionales
e involuntarias en su definición.3
Los riesgos internos más
comunes incluyen el espionaje,
el fraude, la pérdida
de activos empresariales
confidenciales, el sabotaje
y la violencia física.
5
Carnegie Mellon University, “Insider Threats in Information
Technology“ (Amenazas internas en la tecnología de la información),
febrero de 2019 https://insights.sei.cmu.edu/
insider-threat/2019/02/insider-threats-in-information-technology
-part-6-of-9-insider-threats-across-industry-sectors.html
Los impactos del riesgo interno también varían según la industria y pueden incluir la pérdida
financiera, el daño a la marca y la reputación, la desventaja competitiva, el incumplimiento de
las normativas y la pérdida de cuota de mercado.

Un desafío de administración de riesgos para toda la empresa

Al igual que con muchos tipos de riesgos de ciberseguridad, es casi imposible eliminar por
completo los riesgos internos. Un programa integral que involucra a las partes interesadas
clave en toda la organización puede ayudar a reducir el riesgo interno. Los programas eficaces
de administración de riesgos internos aprovechan las partes interesadas clave para identificar
riesgos y adaptar los controles técnicos para abordarlos.
Los programas de administración de riesgos internos a menudo se centran exclusivamente en
la implementación de herramientas y tecnología sin incorporar las consideraciones necesarias
de organización, administración de riesgos y culturales. Sin usar esas consideraciones para
afinar la colección, las herramientas no son capaces de distinguir entre datos pertinentes y no
pertinentes, esencialmente al buscar la aguja en el legendario pajar. La tecnología desempeña
un papel importante, pero es solo un componente de un programa eficaz.
Consideramos los siguientes cinco elementos esenciales para un programa de administración
de riesgos internos: gobernanza, directivas y procedimientos, análisis de riesgos, capacitación
y sensibilización, y tecnología.

6 Creación de un programa eficaz para la administración de los riesgos internos

Los programas eficaces identifican y abordan los riesgos de
forma temprana
Los programas eficaces de administración de riesgos internos son impulsados por un equipo
multidisciplinario que identifica los activos críticos y los riesgos internos relacionados. Estos
programas suelen establecer escenarios internos de alto riesgo e identificar riesgos adicionales
a medida que evolucionan. Están diseñados para identificar proactivamente la actividad interna,
lograr una intervención temprana y ayudar a reducir los impactos negativos.
La creación de un programa formal de administración de riesgos internos es el primer paso
para lograr una intervención temprana.

7 Creación de un programa eficaz para la administración de los riesgos internos

Creación de un programa de
administración de riesgos internos
1. Establezca fundamentos de gobernanza
a gobernanza es un elemento fundamental de cualquier programa exitoso de

L administración de riesgos internos. Los componentes fundamentales incluyen

la constitución general del programa, las pautas para la aplicación coherente
y los procesos para actuar sobre información ambigua.
Es esencial considerar cuidadosamente la cultura al redactar el alcance y los objetivos del
programa. La cultura varía significativamente entre las organizaciones, las industrias y las
geografías, y lo que puede ser factible para una organización puede ser inconcebible para otra.
Un programa flexible de administración de riesgos internos debe abordar las preocupaciones
culturales y geográficas.

La cultura debe tenerse en cuenta al

definir el alcance y los objetivos del
programa. El programa debe proteger
Identifique al propietario de a la organización, las personas y los
un programa activos críticos sin que se perciba como
Uno de los primeros pasos incluye la una autoridad dominante ni obstaculice
identificación del propietario de un programa los objetivos y las operaciones de la
(ya sea a tiempo parcial o a tiempo completo) organización.
que, junto con los patrocinadores ejecutivos,
liderará el equipo de riesgos internos.
El propietario será responsable de establecer
la estrategia y la dirección del programa, así
como de facilitar las normas de supervisión
y notificación de la toma de decisiones.
Los propietarios de programas no tienen que alinearse con un área funcional específica.
Si bien la propiedad puede pertenecer a la seguridad de la información, el departamento
legal, recursos humanos (RR. HH.) o seguridad física, es fundamental que el programa
tenga una amplia participación y apoyo multidisciplinarios.

8 Creación de un programa eficaz para la administración de los riesgos internos

Defina una carta del programa de administración de riesgos internos
Una carta del programa de administración de riesgos internos documenta la misión, el alcance,
los objetivos y la propiedad del programa. La carta del programa debe definir los roles y las
responsabilidades entre los equipos multidisciplinarios, los patrocinadores ejecutivos y las
partes interesadas claves de acuerdo con la cultura y el entorno operativo de la organización.
La carta del programa establece una definición precisa
Empiece con lo básico: del riesgo interno para la organización, describe la
describa la misión, el alcance
y los objetivos del programa coordinación entre las unidades de negocio y proporciona
e identifique a las partes una visión organizativa singular sobre los riesgos, los
interesadas. presupuestos, los impactos y las métricas
operativas internas.

Reúna a un equipo de riesgos internos

El equipo de riesgos internos facilita la identificación
Comience con las partes
de riesgos claves, implementa procesos para abordar interesadas de las unidades de
los riesgos, realiza investigaciones y pone en marcha negocio, recursos humanos,
las lecciones aprendidas para ayudar a crear una legal, privacidad y TI. Incluya
mejora continua coherente con los términos de la áreas funcionales adicionales
carta del programa. según sea necesario.

El equipo de riesgos internos debe incluir a las partes interesadas de las funciones de
soporte empresarial y corporativo. Ensamblar un grupo de trabajo para determinar los
aspectos operativos y cotidianos del programa puede ser adecuado para las organizaciones
más grandes.

Establezca las directivas y los procedimientos claves

Las directivas y los procedimientos ayudan a establecer el tono y la dirección de la
administración de riesgos internos, y ayudan a garantizar que el programa sea coherente
con la cultura de la organización.
El equipo de riesgos internos debe ayudar a redactar las
Empiece con algunas directivas y los procedimientos claves, y hacer cumplir
directivas y procedimientos una aplicación coherente en toda la organización en
tácticos y repita con el tiempo.
función de una perspectiva de riesgos internos.
Las directivas y los procedimientos claramente
documentados pueden ayudar a evitar ambigüedades y establecer expectativas de
comportamiento de los empleados, las interacciones y el uso de los activos de la empresa.
Las directivas y los procedimientos de riesgos internos deben revisarse periódicamente
y actualizarse a medida que se identifican áreas de riesgo adicionales. Algunos ejemplos son:

9 Creación de un programa eficaz para la administración de los riesgos internos

 Consulte el caso práctico de riesgos internos para obtener más información sobre el rol que
juegan estos documentos cuando un empleado saliente roba información, un escenario de
riesgo común.

2. Identifique los riesgos internos claves

Una vez que los fundamentos de gobernanza estén vigor, el equipo de riesgos internos debe
identificar los riesgos internos claves en función de la organización y los activos críticos.

Identifique los riesgos pertinentes

El equipo de riesgos internos debe centrarse en los
activos más críticos de la organización y cómo los Al identificar los riesgos
escenarios de riesgo interno podrían influir en ellos. Los internos, puede ser un enfoque
debates de ámbito deben llevarse a cabo con el equipo eficaz comenzar con una
de riesgos internos y ser coherentes con el riesgo y la unidad de negocio piloto.
cultura potenciales de la organización. Considere los
controles existentes para ayudar a detectar y evitar
los riesgos. Esta información puede ayudar a las
organizaciones a iniciar la supervisión de riesgos internos.

Alcance de la población de usuarios

Las organizaciones pueden ser reticentes a implementar un programa de administración de
riesgos internos que se dirige a una amplia base de empleados. A muchos les resulta más
eficaz centrarse en un subconjunto de usuarios que plantean un mayor riesgo, a la vez que
tienen en cuenta la cultura organizativa y la dinámica del lugar de trabajo.
Al captar la población de usuarios, considere los siguientes atributos de usuario:

10 Creación de un programa eficaz para la administración de los riesgos internos

3. Aborde los riesgos identificados
Después de identificar los riesgos claves, los equipos de riesgos internos deben centrarse
en la implementación de controles para abordarlos. Un primer paso es comprender las
funcionalidades de las herramientas y tecnologías actuales de la organización, y cómo
usarlas rápidamente.
Las tácticas tradicionales incluyen la
"...los equipos de riesgos internos
recopilación y la correlación de registros dentro deben centrarse en herramientas
de una sola herramienta. Sin embargo, este escalables que utilicen conjuntos
enfoque puede ser abrumador y requiere de de reglas predefinidos o plantillas
recursos significativos para desplegar agentes, específicas de la organización".
implementar la infraestructura o reducir los
falsos positivos.
En cambio, los equipos de riesgos internos deben centrarse en herramientas escalables
que utilicen conjuntos de reglas predefinidos o plantillas específicas de la organización.
Por ejemplo, la herramienta Administración de riesgos de Insider en Microsoft 365 ofrece
plantillas de directivas diseñadas para ayudar a dirigir los riesgos internos claves de una
organización y poder escalar con el programa de una organización.

La Administración de riesgos de Insider en Microsoft 365 ofrece plantillas de directivas

integradas centradas en el escenario para abordar los riesgos internos. El caso práctico
de riesgos internos a continuación destaca cómo comenzar.

Una base para el futuro

Un programa que identifica los riesgos
internos y utiliza una combinación de
tecnologías y procesos para abordarlos
es fundamental para proteger los datos,
los usuarios y los sistemas de una
organización. Dado el aumento de la
frecuencia y la gravedad de los riesgos
internos, un programa de administración
de riesgos internos puede ayudar a dirigir
los riesgos que potencialmente tienen los
impactos más significativos en las
operaciones comerciales. La realización
de ejercicios de capacitación
y sensibilización para el equipo de
riesgos internos y las partes interesadas
pertinentes puede ayudar a hacer cumplir
la aplicación de directivas
y procedimientos claves.

11 Creación de un programa eficaz para la administración de los riesgos internos

Caso práctico simulado: robo de
datos confidenciales por parte de
los empleados que salen de la
organización
no de los escenarios de riesgos internos más comunes involucra a los empleados

U salientes de una organización que llevan consigo información comercial confidencial

y propiedad intelectual. En este ejemplo simulado se describe cómo una organización
puede basarse en los elementos programáticos de administración de riesgos internos
descritos con anterioridad para abordar este riesgo.

El robo de información confidencial

por parte de los empleados
salientes es un riesgo significativo
Riesgos internos para una para las organizaciones de todas
empresa global las industrias.
Contoso Corporation es un conglomerado
multinacional ficticio que fabrica, vende y brinda soporte a más de 100 000 productos. Después
de los informes de los medios de alto perfil con respecto a los riesgos internos para los pares
de la industria, la empresa designó al propietario del programa para establecer una iniciativa
de administración de riesgos internos.

12 Creación de un programa eficaz para la administración de los riesgos internos

El propietario del programa reunió a un equipo de riesgos internos para formalizar y ratificar
una carta del programa de administración de riesgos internos. El equipo incluyó a las partes
interesadas en las áreas funcionales, incluidas las unidades de negocio principales, como la
fabricación, las ventas y el soporte.
Los miembros del equipo establecieron directivas y procedimientos claves que se alinean con
la sólida cultura organizativa de la empresa. El alcance del programa de administración de
riesgos internos de Contoso se limita a los empleados que salen de la organización y requiere
que la identidad del empleado siga siendo pseudoanónima a menos que se obtenga la
autorización adecuada.
El equipo realizó talleres con unidades de negocio pertinentes para identificar los principales
riesgos para los productos y servicios críticos. No es de sorprender que el robo de datos
confidenciales por parte de los empleados salientes se identificara como una preocupación
principal. Contoso eligió la herramienta Administración de riesgos de Insider dentro de
Microsoft 365 Enterprise para ayudar a abordar este riesgo.
Implementación de controles de detección
El equipo de riesgos internos de Contoso trabajó con el
La herramienta Administración
departamento de TI de la organización para implementar
de riesgos de Insider en
los controles de administración de riesgos internos
Microsoft 365 puede aplicar integrados en la herramienta Administración de riesgos
directivas de administración de Insider de Microsoft 365. La empresa implementó una
de riesgos internas a usuarios plantilla de directiva de robo de datos para empleados
específicos. salientes que incluía estos indicadores de detección:

13 Creación de un programa eficaz para la administración de los riesgos internos

Responder a las alertas de concordancia de directivas
La característica de alerta de coincidencia de directivas
de la Administración de riesgos de Insider generó una
La administración de riesgos
alerta para un empleado saliente que descargó archivos de Insider conserva numerosas
de SharePoint Online, imprimió documentos y copió señales para producir alertas
archivos a una unidad USB. Varios de estos archivos específicas del escenario.
se designaron como información confidencial mediante
etiquetas de confidencialidad.
Un miembro del equipo de riesgos internos inició una investigación basada en las pautas
descritas en el manual de investigación de Contoso. Según la directiva de pseudoanonimato
de Contoso, el investigador desconoce la identidad del usuario.

14 Creación de un programa eficaz para la administración de los riesgos internos

Crear un caso nuevo
El investigador no estaba seguro si las
No todas las alertas se asocian con infracciones de la directiva del usuario eran
actividades malintencionadas malintencionadas o no deliberadas. Como
deliberadas. La actividad involuntaria resultado, el investigador usó la herramienta
puede resultar de una falta de para crear un nuevo caso de robo de datos
conocimiento sobre las directivas para una revisión adicional de la alerta, y los
de protección de datos. detalles y circunstancias asociados con las
directivas pertinentes.

15 Creación de un programa eficaz para la administración de los riesgos internos

Visualizar actividades históricas de riesgos internos
Después de crear el caso, el investigador usó el
panel de casos para descubrir un historial de la
actividad del usuario. El análisis adicional reveló Al investigar la actividad del
que el usuario llevó a cabo actividades fuera de usuario, suponga una intención
la directiva meses antes de su fecha de renuncia, positiva, a menos que se
incluido el uso de lenguaje ofensivo, la copia produzcan infracciones de
e impresión de archivos, el intercambio de directivas repetidas. Use la
documentos de SharePoint Online y el envío puntuación de riesgo para
de correo electrónico a cuentas externas. La clasificar la gravedad del caso.
herramienta también clasificó el riesgo de esta
alerta en el nivel más alto, teniendo en cuenta el
historial del usuario. En función de estos hallazgos,
el investigador escaló la gravedad del caso.

16 Creación de un programa eficaz para la administración de los riesgos internos

Identificar la posible pérdida
de datos
El investigador usó el explorador de
contenido para determinar qué archivos
se copiaron a una unidad USB. El
explorador de contenido mostraba los
archivos de datos y los mensajes de
correo electrónico disponibles asociados
con la alerta de la directiva de usuario y le
permitió al investigador filtrar estos datos
por atributos, como el origen de datos, el
tipo de archivo, las etiquetas y las
conversaciones. El investigador aprobó
el acceso a la herramienta en función
de los derechos del usuario para que los
miembros adicionales del equipo de
riesgos internos realizaran la clasificación
a fin de determinar si la actividad del
usuario era benigna o malintencionada.
El equipo determinó que el usuario copió
archivos confidenciales que incluían
planos de diseño de la placa madre.
Tomar medidas adicionales
El posible robo de propiedad intelectual valiosa
La administración de riesgos
justificó la escalada de casos. Con el panel de casos,
internos les permite a los
el investigador inició una investigación abierta. En
usuarios incorporar notas de esta situación, el investigador clasificó el caso como
caso y enviar notificaciones a las un problema del empleado, incluidas notas de caso
partes interesadas pertinentes y notificaciones a las partes interesadas pertinentes
para tomar medidas adicionales. para una mayor acción.

17 Creación de un programa eficaz para la administración de los riesgos internos

Eliminar el pseudoanonimato para investigar
El investigador eliminó el pseudoanonimato del
empleado para determinar la identidad del usuario: La investigación ayudó a la
un administrador de SharePoint. Con esta empresa a cuantificar el riesgo
información, el equipo de riesgos internos colaboró dentro de un plazo adecuado
con las partes interesadas claves de todas las y tomar medidas rápidamente.
funciones para reunir hechos adicionales que
ayudarían a determinar el curso correcto de acción.
Se observó que el administrador de SharePoint se había marcado anteriormente en el año por
copiar datos a una unidad USB y enviar correos electrónicos externos. Esta prueba, combinada
con entrevistas de recursos humanos y otra información de apoyo, confirmó la intención
malintencionada. Por lo tanto, la organización tomó medidas legales contra el empleado.

Ciclo de retroalimentación y lecciones aprendidas

Después de cerrar el caso, el equipo de riesgos internos redactó un informe de seguimiento
para informar a las partes interesadas sobre las lecciones aprendidas del incidente

18 Creación de un programa eficaz para la administración de los riesgos internos

Contactos
John Boles Sloane Menkes Matt Gregson
Director Directora Director
john.boles@pwc.com sloane.menkes@pwc.com gregson.d.matthew@pwc.com

Raman Kalyan Talhah Mir

Director de Marketing de Director del Programa
Productos Principal
raman.kalyan@microsoft.com talhahm@microsoft.com

© 2020 PricewaterhouseCoopers LLP, una asociación de responsabilidad limitada de Delaware. Todos los derechos reservados.
Definición: PwC se refiere a la empresa miembro de los Estados Unidos y, en ocasiones, puede referirse a la red de PwC. Cada
empresa miembro es una entidad jurídica independiente. Visite www.pwc.com/structure para obtener más información. Este
contenido es solo para fines informativos generales y no debe utilizarse como sustituto para la consulta con asesores profesionales.

© 2020 Microsoft Corporation. Todos los derechos reservados. Este documento se proporciona “tal cual”. La información y las
opiniones que aquí se expresan, incluidas las direcciones URL y otras referencias a sitios web de Internet, están sujetas a cambios
sin previo aviso. Usted asume el riesgo de usarlo. Este documento no le otorga derecho legal alguno a ningún aspecto de
propiedad intelectual de ninguno de los productos de Microsoft. Puede copiar y usar este documento para uso interno como
referencia.