El riesgo interno puede ocurrir en cualquier lugar dentro de una empresa, por cualquier persona. Puede provenir de ex empleados descontentos que roban secretos comerciales de inteligencia artificial o alguien cazado furtivamente por un competidor tomando secretos de diseño de chips móviles en su camino hacia la puerta. Incluso puede provenir del C-suite, como aprendió una empresa recientemente cuando su CFO compartió accidentalmente un documento con toda la empresa titulado “Reestructuración”. La exposición involuntaria de datos puede causar malestar entre los empleados, o incluso desencadenar los requisitos de presentación de la Normativa de Divulgación Justa (Reg FD) de la Comisión de Bolsa y Valores de EE. UU. (SEC) para las empresas públicas, si los datos filtrados pudieran afectar a los accionistas.
Para el equipo de seguridad, puede ser inapropiado adoptar un enfoque combativo, destinado a las amenazas externas, con un CFO sobre un intercambio de datos no intencional. Hay una mejor manera.
Un enfoque empático para las investigaciones de los empleados
La forma en que debemos abordar un riesgo exter no, como el malware, por ejemplo, en comparación con el de los internos es muy diferente.
Hay muchos factores a considerar cuando se gestiona el riesgo interno, especialmente en lo que se refiere al resultado comercial deseado. Las investigaciones internas no deben caer únicamente dentro del ámbito del equipo de seguridad y, a menudo, requieren la colaboración de seguridad, recursos humanos y legal. Según Gartner, “Los datos de la encuesta… indican que más del 50 % de los incidentes internos no son maliciosos”, lo que significa que, en la mayoría de los casos, el empleado que provocó el incidente simplemente estaba tratando de hacer su trabajo, cometiendo un error o tomando un atajo. Tratarlos como si sus acciones fueran intencionalmente maliciosas es un enfoque incorrecto y podría resultar contraproducente. Los involucrados en la investigación deben adoptar un enfoque empático sin juzgar. De lo contrario, el riesgo de que ese empleado vuelva a cometer el mismo error o se sienta descontento y privado de sus derechos aumenta significativamente.
Abordar las investigaciones internas con empatía requiere un cambio psicológico. Es el primer paso para generar confianza, de modo que se pueda alcanzar el mejor resultado para la organización. Aquí hay cinco elementos importantes de un enfoque empático para las investigaciones internas:
- Conéctate para entender: Cuando ocurre un evento, la primera comunicación puede ser tan casual como: “Oye, notamos que moviste un documento a tu cuenta personal en la nube. ¿Querías hacer eso? Su respuesta a menudo será de sorpresa, porque fue un error o no se dieron cuenta de que esto no estaba permitido. Posiblemente simplemente necesitaban hacer el trabajo, y esta era la forma más rápida.
- Explore los sesgos inconscientes: Todos los humanos tenemos sesgos conscientes e inconscientes que afectan nuestras acciones y decisiones. El equipo de recursos humanos puede ayudar a otras partes interesadas a explorar estos sesgos y trabajar para mitigarlos. Es importante tratar a todas las personas por igual, ya sean compañeros, el director ejecutivo o alguien de un grupo o cultura diferente a la suya.
- Tranquilizar para apoyar la asociación: Si el evento fue un error, infórmele al empleado que no está en problemas. Es probable que el empleado crea que lo es y se pregunte si podría perder su trabajo. Es un instinto humano natural ponerse a la defensiva y negar el comportamiento. Asegúreles que este evento se puede revertir y que usted está aquí para ayudar. Es más probable que sean honestos sobre lo que estaban tratando de hacer y usted estará en una mejor posición para ayudarlos y para recuperar los datos expuestos o filtrados.
- Educar: En caso de un incidente negligente o accidental, es importante proporcionar al empleado información sobre la forma correcta de actuar en el futuro. La orientación en el momento del error tiene un gran impacto y es más probable que se recuerde que, por ejemplo, una sesión de capacitación anual. Puedes reforzar la conversación con breves videos de uno a tres minutos sobre una situación específica.
- Tomar acción: Es importante abordar cada investigación con empatía, pero siempre hay una parte de las infracciones internas que son verdaderamente maliciosas. En estos casos, la documentación es importante. Si se determina que el empleado tomó una acción arriesgada deliberadamente, y si está claro que presenta un riesgo continuo para la organización y sus datos, entonces es hora de reunir a todas las partes interesadas clave de seguridad, recursos humanos y legal para proporcionar un curso de acción recomendado para el equipo ejecutivo.
Abordar las investigaciones internas con empatía ayuda a construir una cultura de confianza, comunicación abierta y respeto. Construye y perpetúa una cultura de seguridad positiva y, lo mejor de todo, ayudará a mantener seguros los datos más valiosos de su organización.
Este contenido fue producido por Insights, el brazo de contenido personalizado de .. No fue escrito por el equipo editorial de ..