Los activos digitales y físicos críticos se están volviendo cada vez más vulnerables debido a la conectividad acelerada, los diferentes requisitos regulatorios globales, las empresas conjuntas y las alianzas comerciales y las debilidades de seguridad dentro de las complejas cadenas de suministro multinacionales. Estos factores han llevado a un aumento de las amenazas internas para las empresas en todas las industrias.
Una amenaza interna es un empleado o un proveedor externo que tiene acceso a la red de una empresa. Mientras que algunas personas de adentro buscan comprometer datos corporativos confidenciales para obtener ganancias monetarias o por despecho, otros lo hacen accidentalmente debido a negligencia o falta de conocimiento.
Según el "Informe de amenazas internas de 2016" realizado por Crowd Research Partners, el 75 por ciento de los encuestados calculó que las amenazas internas le costaron a sus empresas al menos $ 500,000 en 2016, mientras que el 25 por ciento informó que los costos podrían exceder esa cantidad. El estudio también encontró que el 74 por ciento de las organizaciones son vulnerables a las amenazas internas. De ese número, el 7 por ciento informó que eran "extremadamente vulnerables".
Indicadores de Comportamiento Común
El indicador más común de una amenaza interna es la falta de conciencia. Por ejemplo, los empleados con habilidades de TI inteligentes a menudo crean soluciones para los desafíos tecnológicos. Cuando los empleados usan sus propios dispositivos personales para acceder a los correos electrónicos del trabajo, a menudo crean nuevas vulnerabilidades dentro de los procesos de seguridad física de la organización y los sistemas de TI.
El jefe de seguridad de la información (CISO, por sus siglas en inglés) debe conocer estos patrones para detectar motivos sospechosos, lo que requiere un enfoque integral y en capas para el análisis del comportamiento del usuario (UBA). Los siguientes son ejemplos de indicadores de comportamiento:
Descargar cantidades sustanciales de datos a discos externos
Acceder a datos confidenciales que no son relevantes para el rol de un usuario
Enviar información confidencial por correo electrónico a una cuenta personal
Intenta evitar los controles de seguridad
Solicitudes de autorización o acceso de alto nivel sin necesidad
Acceder con frecuencia al espacio de trabajo fuera del horario normal de trabajo
Comportamientos irresponsables en las redes sociales
Mantener el acceso a datos confidenciales después de la terminación
Usar dispositivos de almacenamiento externo no autorizados
Disgusto visible hacia los empleadores o compañeros de trabajo
Violación crónica de las políticas de la organización
Disminución en el rendimiento laboral
El uso de dispositivos móviles para fotografiar o grabar pantallas de computadoras, áreas de trabajo comunes o centros de datos
Uso excesivo de impresoras y escáneres
Comunicaciones electrónicas que contienen un uso excesivo de lenguaje negativo
Instalar software no aprobado
Comunicación con empleados actuales o antiguos de alto riesgo
Viajar a países conocidos por el robo o alojamiento intelectual de competidores (IP) adecuadamente
Violación de las políticas corporativas
Rastreo de red, acumulación de datos o copia de repositorios internos
Anomalías en horas de trabajo; Intenta acceder a áreas restringidas
Indicaciones de vivir más allá de los medios
Discusiones de renunciar o nuevas empresas comerciales
Quejas de comportamientos hostiles, anormales, poco éticos o ilegales.
Puntos débiles de remediación
Las amenazas internas son costosas de remediar porque son muy difíciles de detectar. Una investigación exhaustiva a menudo requiere que las empresas contraten a especialistas forenses para determinar el alcance de una infracción. También es un desafío distinguir la actividad maliciosa del trabajo diario regular. Por ejemplo, los usuarios que tienen privilegios de acceso elevados interactúan con datos confidenciales como parte de sus trabajos normales, por lo que puede ser prácticamente imposible determinar si sus acciones son maliciosas o benignas.
Los usuarios que tienen privilegios de acceso elevados a menudo cubren sus pistas al eliminar o editar registros, hacerse pasar por otro usuario o utilizar un sistema, grupo o cuenta de aplicación. Probar la culpa es otro punto de dolor, ya que los usuarios infractores pueden reclamar ignorancia o error humano.
Pasos para combatir las amenazas internas
La mayoría de las organizaciones carecen de procedimientos para hacer frente a las amenazas internas. Además, los modelos de arquitectura de seguridad no tienen espacio para amenazas internas. Las infraestructuras de seguridad evitan principalmente que los atacantes externos ingresen a la red sin ser detectados, operando bajo la falsa suposición de que aquellos a quienes se les concede el acceso interno en primer lugar son confiables.
Para contabilizar y remediar adecuadamente las amenazas internas, las organizaciones deben establecer una estrategia de seguridad integral basada en el riesgo que incluya los siguientes cuatro elementos:
1. Gobierno de la información
Es de suma importancia proteger los activos de datos críticos de las amenazas internas. El gobierno de la información proporciona inteligencia empresarial que impulsa las políticas y controles de seguridad. Esto mejora la gestión de riesgos y la coordinación de las actividades de gestión de la información. Una sólida base de gobierno de la información permite a las organizaciones adoptar un enfoque basado en el riesgo para proteger sus activos más valiosos e instalar procedimientos de gestión de datos sólidos.
2. Análisis avanzado de datos forenses
Los análisis basados en el usuario son herramientas indispensables que proporcionan detección y medidas predictivas para frustrar las amenazas internas. Estas soluciones incorporan inteligencia artificial y tecnologías de aprendizaje automático que analizan objetivamente los comportamientos internos y generan clasificaciones de riesgo dentro de la población de usuarios.
3. Respuesta y recuperación de incidentes
Las infracciones externas e internas tienen sus propios matices, pero los impactos son similares y deberían aprovechar el mismo programa de respuesta en previsión de una infracción importante. Las organizaciones deben esforzarse por crear un programa de amenazas internas tan potente como sea posible. También es importante desarrollar un programa de respuesta a incidentes que considere las infracciones internas y externas.
4. Consideraciones legales
Un programa de amenazas internas no puede tener éxito sin cuidadosas consideraciones legales y reglamentarias. Por ejemplo, las leyes de privacidad relacionadas con la supervisión de los empleados varían según las fronteras nacionales. En los EE.UU., La Ley de Privacidad de Comunicaciones Electrónicas (ECPA, por sus siglas en inglés) permite a los empleadores, bajo ciertas disposiciones, monitorear los correos electrónicos de sus empleados y otras comunicaciones electrónicas. Mientras tanto, los estados miembros de la Unión Europea (UE), en cumplimiento de la Convención Europea de Derechos Humanos, cumplen con las leyes de privacidad bajo la Directiva de Protección de Datos, que regula cómo las organizaciones dentro de la UE procesan información personal.
Un desafío interorganizacional
La lucha contra las amenazas internas es un problema organizativo que atraviesa a personas, procesos y tecnología, y requiere una comprensión detallada de los activos y la postura de seguridad de la organización. También exige una clara separación de funciones, un control continuo de los comportamientos de los empleados y un programa formal de amenazas internas que incluye TI, recursos humanos, legales y todos los demás grupos empresariales. Con los recursos adecuados en su lugar, un CISO puede reunir la inteligencia procesable necesaria para frustrar los ataques internos y obtener visibilidad de los usuarios de mayor riesgo.
Da click aquí para conocer más de las amenazas internas y como detenerlas.