Tiempo de lectura: 5 minutos (1)
La intrusión se identifica con la fuerza y la agresión desde fuera, realizada por un intruso (alguien que no conocemos). El uso indebido es siempre realizado por una persona que se ha ganado nuestra confianza.
La intrusión y el uso indebido son riesgos bien distintos que a menudo se confunden y por lo tanto, tienden a ser tratados de la misma forma, aplicando tratamientos similares, cuando en buena lógica, cada uno requiere de su propia solución.
Hay que considerar que existe una gran diferencia entre las diferentes personas agresoras (ya sean internas o externas), y por ende, en su coste de oportunidad para cometer el delito. En principio, si aprendemos a combinar perfiles de personas y coste de oportunidad, estaremos más cerca de acertar con el tratamiento mas adecuado.
Riesgo indebido o abuso de confianza
Definido como cualquier acción u omisión que, aprovechándose de la confianza depositada en una persona, pretenda por parte de ésta, un beneficio ilegítimo, para su persona o para terceros. La buena selección del personal, así como el seguimiento constante de las pequeñas faltas, errores y omisiones, del personal de la empresa y de las contratas, son la mejor prevención posible a los efectos de este tipo de riesgos.
Diferencia entre intrusión y uso indebido
El riesgo de uso indebido siempre es mayor y presenta más dificultades para contrarrestarlo que el riesgo de intrusión. El uso indebido o también llamado «abuso de confianza», es considerado un “caballo de Troya” dentro del sistema de seguridad puesto que afecta a personas admitidas dentro del sistema de acceso, que disponen de cierta confianza, con posibilidad de libre movimiento y con suficientes conocimientos de las instalaciones, horarios y costumbres.
Lógicamente cuanto mayor son las instalaciones y más compartidas están, mayor porcentaje de uso indebido se genera. Otro mito es pensar que el uso indebido está más vinculado a las empresas subcontratadas que a los empleados de nuestra propia compañía. La realidad es que el uso indebido se germina en todo tipo de personas, que, por diferentes razones, abusan de la confianza depositada en ellos (necesidades económicas, desencanto, maltrato o desconsideración profesional, nivel de preparación, valores como persona, avaricia, malicia, …).
La intrusión es realizada por intrusos (agresores desconocidos, extraños a la instalación), mientras que el uso indebido es acometido por personas de confianza (conocidos, proveedores, visitas, empleados, …). La intrusión deja evidencias físicas pero el uso indebido casi nunca se conoce hasta que es demasiado tarde.
Idear el sistema contra la intrusión requiere de conocimiento tecnológico pero diseñar una protección contra la intrusión + uso indebido, requiere además de un esfuerzo cognitivo importante de todo el colectivo, no solo del gestor de seguridad. Y además hay que asumir un mayor grado de incomodidad en el día a día hasta que el cambio se interioriza como algo normal.
Vigilantes,
Conserjes,
Empleados,
Proveedores,
Servicios del hogar,
Cuidadores,
Conocidos,
….
El uso indebido se combate fomentando el uso debido.
Y este se genera consiguiendo la colaboración y participación de usuarios y gestores, a través de la ampliación de la información, para que todas las personas sean conscientes de las bondades, que para la compañía y para ellos mismos, traerá la implementación de las nuevas medidas.
La auditoria como reductor del abuso de confianza.
Comienza a recuperarse la idea de auditar; sistemas, procesos y hábitos. Es habitual auditar los procesos, un poco menos auditar los sistemas de seguridad implantados y es muy raro ver auditorias de hábitos.
No auditamos los hábitos de las personas porque chocan con los egos, las jerarquías y los miedos de estas personas a ser identificados como una vulnerabilidad o como canalizador de un uso indebido en concreto.
Es crucial liderar un proceso de transformación que genere el uso debido.
Y por último, aceptemos que el porcentaje de probabilidad es inmensamente superior en el uso indebido que en la intrusión y esto lo cambia todo porque hace ineficaz a la mayoría de sistemas implantados.
_____________
Poco a poco iremos comprendiendo, para después aceptar, el hecho irrefutable, de que las personas somos parte del problema y parte de la solución.
Auditar nuestras acciones solo nos traerán beneficios personales y profesionales.
_____________
Buen artículo de puntualización, Ángel.
Dentro del riesgo por uso indebido, me parece interesante distinguir aquellos agentes que consciente y deliberadamente infringen la seguridad de aquellos que lo hacen inconscientemente. Personal interno, por ejemplo, que elimina barreras de seguridad a su paso (alarmas perimetrales, por ejemplo) y por descuido no las restituye a posteriori.
No sé qué os parece, , pero considero incluso más grave el segundo caso que el primero, dado que denota falta de formación o de procedimientos, algo que es relativamente fácil de solucionar, pero que pone de relieve la existencia de puntos negros a nivel de seguridad en la organización.
Un saludo.