top of page
Buscar
Foto del escritorNetec

Guía para identificar y combatir ciberamenazas internas


Los activos digitales y físicos críticos se están volviendo cada vez más vulnerables debido a la conectividad acelerada, los diferentes requisitos regulatorios globales, las empresas conjuntas y las alianzas comerciales y las debilidades de seguridad dentro de las complejas cadenas de suministro multinacionales. Estos factores han llevado a un aumento de las amenazas internas para las empresas en todas las industrias.

Una amenaza interna es un empleado o un proveedor externo que tiene acceso a la red de una empresa. Mientras que algunas personas de adentro buscan comprometer datos corporativos confidenciales para obtener ganancias monetarias o por despecho, otros lo hacen accidentalmente debido a negligencia o falta de conocimiento.

Según el "Informe de amenazas internas de 2016" realizado por Crowd Research Partners, el 75 por ciento de los encuestados calculó que las amenazas internas le costaron a sus empresas al menos $ 500,000 en 2016, mientras que el 25 por ciento informó que los costos podrían exceder esa cantidad. El estudio también encontró que el 74 por ciento de las organizaciones son vulnerables a las amenazas internas. De ese número, el 7 por ciento informó que eran "extremadamente vulnerables".

Indicadores de Comportamiento Común

El indicador más común de una amenaza interna es la falta de conciencia. Por ejemplo, los empleados con habilidades de TI inteligentes a menudo crean soluciones para los desafíos tecnológicos. Cuando los empleados usan sus propios dispositivos personales para acceder a los correos electrónicos del trabajo, a menudo crean nuevas vulnerabilidades dentro de los procesos de seguridad física de la organización y los sistemas de TI.

El jefe de seguridad de la información (CISO, por sus siglas en inglés) debe conocer estos patrones para detectar motivos sospechosos, lo que requiere un enfoque integral y en capas para el análisis del comportamiento del usuario (UBA). Los siguientes son ejemplos de indicadores de comportamiento:

  • Descargar cantidades sustanciales de datos a discos externos

  • Acceder a datos confidenciales que no son relevantes para el rol de un usuario

  • Enviar información confidencial por correo electrónico a una cuenta personal

  • Intenta evitar los controles de seguridad

  • Solicitudes de autorización o acceso de alto nivel sin necesidad

  • Acceder con frecuencia al espacio de trabajo fuera del horario normal de trabajo

  • Comportamientos irresponsables en las redes sociales

  • Mantener el acceso a datos confidenciales después de la terminación

  • Usar dispositivos de almacenamiento externo no autorizados

  • Disgusto visible hacia los empleadores o compañeros de trabajo

  • Violación crónica de las políticas de la organización

  • Disminución en el rendimiento laboral

  • El uso de dispositivos móviles para fotografiar o grabar pantallas de computadoras, áreas de trabajo comunes o centros de datos

  • Uso excesivo de impresoras y escáneres

  • Comunicaciones electrónicas que contienen un uso excesivo de lenguaje negativo

  • Instalar software no aprobado

  • Comunicación con empleados actuales o antiguos de alto riesgo

  • Viajar a países conocidos por el robo o alojamiento intelectual de competidores (IP) adecuadamente

  • Violación de las políticas corporativas

  • Rastreo de red, acumulación de datos o copia de repositorios internos

  • Anomalías en horas de trabajo; Intenta acceder a áreas restringidas

  • Indicaciones de vivir más allá de los medios

  • Discusiones de renunciar o nuevas empresas comerciales

  • Quejas de comportamientos hostiles, anormales, poco éticos o ilegales.

Puntos débiles de remediación

Las amenazas internas son costosas de remediar porque son muy difíciles de detectar. Una investigación exhaustiva a menudo requiere que las empresas contraten a especialistas forenses para determinar el alcance de una infracción. También es un desafío distinguir la actividad maliciosa del trabajo diario regular. Por ejemplo, los usuarios que tienen privilegios de acceso elevados interactúan con datos confidenciales como parte de sus trabajos normales, por lo que puede ser prácticamente imposible determinar si sus acciones son maliciosas o benignas.

Los usuarios que tienen privilegios de acceso elevados a menudo cubren sus pistas al eliminar o editar registros, hacerse pasar por otro usuario o utilizar un sistema, grupo o cuenta de aplicación. Probar la culpa es otro punto de dolor, ya que los usuarios infractores pueden reclamar ignorancia o error humano.


control de ciberamenazas

Pasos para combatir las amenazas internas

La mayoría de las organizaciones carecen de procedimientos para hacer frente a las amenazas internas. Además, los modelos de arquitectura de seguridad no tienen espacio para amenazas internas. Las infraestructuras de seguridad evitan principalmente que los atacantes externos ingresen a la red sin ser detectados, operando bajo la falsa suposición de que aquellos a quienes se les concede el acceso interno en primer lugar son confiables.

Para contabilizar y remediar adecuadamente las amenazas internas, las organizaciones deben establecer una estrategia de seguridad integral basada en el riesgo que incluya los siguientes cuatro elementos:

1. Gobierno de la información

Es de suma importancia proteger los activos de datos críticos de las amenazas internas. El gobierno de la información proporciona inteligencia empresarial que impulsa las políticas y controles de seguridad. Esto mejora la gestión de riesgos y la coordinación de las actividades de gestión de la información. Una sólida base de gobierno de la información permite a las organizaciones adoptar un enfoque basado en el riesgo para proteger sus activos más valiosos e instalar procedimientos de gestión de datos sólidos.

2. Análisis avanzado de datos forenses

Los análisis basados ​​en el usuario son herramientas indispensables que proporcionan detección y medidas predictivas para frustrar las amenazas internas. Estas soluciones incorporan inteligencia artificial y tecnologías de aprendizaje automático que analizan objetivamente los comportamientos internos y generan clasificaciones de riesgo dentro de la población de usuarios.

3. Respuesta y recuperación de incidentes

Las infracciones externas e internas tienen sus propios matices, pero los impactos son similares y deberían aprovechar el mismo programa de respuesta en previsión de una infracción importante. Las organizaciones deben esforzarse por crear un programa de amenazas internas tan potente como sea posible. También es importante desarrollar un programa de respuesta a incidentes que considere las infracciones internas y externas.

4. Consideraciones legales

Un programa de amenazas internas no puede tener éxito sin cuidadosas consideraciones legales y reglamentarias. Por ejemplo, las leyes de privacidad relacionadas con la supervisión de los empleados varían según las fronteras nacionales. En los EE.UU., La Ley de Privacidad de Comunicaciones Electrónicas (ECPA, por sus siglas en inglés) permite a los empleadores, bajo ciertas disposiciones, monitorear los correos electrónicos de sus empleados y otras comunicaciones electrónicas. Mientras tanto, los estados miembros de la Unión Europea (UE), en cumplimiento de la Convención Europea de Derechos Humanos, cumplen con las leyes de privacidad bajo la Directiva de Protección de Datos, que regula cómo las organizaciones dentro de la UE procesan información personal.

Un desafío interorganizacional

La lucha contra las amenazas internas es un problema organizativo que atraviesa a personas, procesos y tecnología, y requiere una comprensión detallada de los activos y la postura de seguridad de la organización. También exige una clara separación de funciones, un control continuo de los comportamientos de los empleados y un programa formal de amenazas internas que incluye TI, recursos humanos, legales y todos los demás grupos empresariales. Con los recursos adecuados en su lugar, un CISO puede reunir la inteligencia procesable necesaria para frustrar los ataques internos y obtener visibilidad de los usuarios de mayor riesgo.

Da click aquí para conocer más de las amenazas internas y como detenerlas.


95 visualizaciones0 comentarios

Entradas recientes

Ver todo
bottom of page