El buen funcionamiento de las empresas modernas de hoy depende de una gran cantidad de empleados. Pero esto implica que la información organizacional confidencial siempre está accesible para cientos o miles de trabajadores, proveedores, socios o contratistas actuales o anteriores. “Amenaza interna” es como los profesionales de la seguridad cibernética se refieren a esto. Estas personas son internas porque se les permite el acceso a información, datos o recursos que pueden compartirse o utilizarse para dañar a la organización. En este ensayo se cubrirá todo el tema de las amenazas internas en la seguridad cibernética, incluido qué son, cómo identificarlas, por qué son programas peligrosos y cómo prevenirlas.
¿Qué son las amenazas internas en ciberseguridad?
Una persona que trabaja para su empresa que compromete la disponibilidad, confidencialidad o integridad de información crítica se considera una amenaza interna. Pueden lograr esto revelando información privada sin querer, cayendo en un engaño, rompiendo propiedades, perdiendo el equipo de la empresa o interrumpiendo los sistemas a propósito.
Una posible amenaza interna es alguien que tiene acceso a datos o recursos confidenciales. Se incluyen en esto el personal, los subcontratistas y los socios. Si los ex trabajadores continúan teniendo acceso a información confidencial después de dejar la empresa, podrían representar una amenaza interna.
Tipos de amenazas internas
Las amenazas internas a la seguridad cibernética se pueden clasificar como actores maliciosos o personal negligente. En esta parte, discutimos cómo se diferencian entre sí y por qué representan una amenaza.
#1. Insiders maliciosos
Un infiltrado malicioso es alguien que deliberadamente obtiene información confidencial o socava una empresa. A menudo hacen esto para obtener un beneficio económico, ya sea utilizando los datos robados para cometer fraude o vendiéndolos a un tercero, como una empresa rival o una banda de piratas informáticos.
Las represalias son otra fuerza impulsora detrás de los infiltrados malintencionados. Esto ocurre con mayor frecuencia con personas despedidas recientemente que albergan resentimiento hacia su antigua empresa. Es probable que la persona cause problemas si todavía tiene acceso a sistemas importantes, ya sea porque la llave de su edificio aún está en su poder o porque las credenciales de inicio de sesión de su lugar de trabajo aún son válidas.
La venganza también podría inspirar a los trabajadores actuales. Esto ocurre con frecuencia cuando se sienten infravalorados o han sido ignorados para un ascenso. Pueden interrumpir las operaciones o robar datos confidenciales utilizando su acceso a los sistemas de la empresa.
#2. Insiders negligentes
Los errores de los empleados, como perder un dispositivo de trabajo o caer en una estafa de phishing, pueden generar riesgos internos negligentes. Estos episodios se pueden dividir en dos subcategorías. En primer lugar, algunos trabajadores usan su buen juicio pero violan las leyes de seguridad de datos debido a circunstancias atenuantes. Por ejemplo, es posible que hayan cometido un error como resultado de estar sobrecargados de trabajo o distraídos.
Por el contrario, algunas personas internas negligentes violan la ley constantemente y muestran poco interés en los programas de concientización del personal. Con frecuencia utilizan el argumento de que las políticas y los procesos de la organización son excesivamente burocráticos o demasiado inconvenientes para defender su comportamiento.
Incluso podrían citar la ausencia de una violación de datos como respaldo de sus afirmaciones. Si es así, es casi seguro que ocurrirá una violación de datos en algún momento, y es más probable que se deba a la suerte que al juicio.
¿Qué tan comunes son las amenazas internas?
Las amenazas internas son una preocupación constante para la ciberseguridad. En el Informe de amenazas internas de 2021 de Cybersecurity Insiders, casi todas las empresas (98 %) declararon que se sentían expuestas a ataques internos.
Aunque estas ocurrencias son frecuentes, es difícil interpretarlas. En muchos casos, se desconoce la fuente precisa de la violación de datos y es difícil estimar el daño. Según un estudio de Cybersecurity Insiders, solo el 51% de las empresas pudieron identificar amenazas internas, o solo pudieron hacerlo después de que los datos se vieran comprometidos.
Mientras tanto, el 89% de los encuestados dijo que no creía que su capacidad para monitorear, detectar y responder a las amenazas internas fuera efectiva, y el 82% dijo que era difícil evaluar el costo real de un asalto.
Cómo detectar amenazas internas
La mejor manera de detectar riesgos internos, ya sea que esté buscando una conducta maliciosa o negligente, es estar atento al comportamiento inusual de los empleados.
Un empleado puede comportarse de manera menos profesional en persona y por escrito si parece estar descontento en el trabajo, por ejemplo. También pueden producir un trabajo menos que estelar y mostrar otros actos de desobediencia, como llegar tarde o irse temprano al trabajo.
Trabajar en horarios extraños a veces puede ser un signo de sospecha. Un empleado puede estar haciendo algo que no quiere que su empresa sepa si inicia sesión en sus sistemas en medio de la noche.
Similar al último ejemplo, si hay mucho tráfico, puede significar que un empleado está copiando datos privados a un disco duro personal para poder utilizarlos de manera fraudulenta.
Sin embargo, el uso que hace el empleado de los recursos que normalmente no necesitaría para su trabajo es lo que es más esclarecedor. Esto implica que están utilizando la información para fines indebidos, como el fraude, o compartirla con un tercero.
Cómo prevenir las amenazas internas
Puede defender los activos digitales de su empresa contra el peligro interno. ¿Cómo? sigue leyendo
#1. Proteger activos importantes
Determine los activos lógicos y físicos más importantes para su empresa. Estos consisten en redes, sistemas, información privada (como datos de clientes, información de empleados, esquemas y planes comerciales intrincados), activos físicos y personal. Determine el estado actual de la protección de cada activo, califique los activos en orden de importancia y comprenda cada activo clave. Naturalmente, se debe proporcionar el nivel máximo de protección contra amenazas internas para los activos con la prioridad más alta.
#2. Establezca un promedio de la actividad normal del usuario y del dispositivo.
El software de seguimiento de amenazas internas viene en una variedad de formas. Estos sistemas funcionan recopilando inicialmente datos de acceso, autenticación, cambios de cuenta, punto final y registros de red privada virtual (VPN) para centralizar la información de actividad del usuario. Utilice esta información para modelar el comportamiento del usuario asociado con eventos particulares, como la descarga de información privada en medios portátiles o la ubicación de inicio de sesión inusual de un usuario, y otorgue puntajes de riesgo a ese comportamiento.
#3. Mayor conciencia
Más de un tercio de los encuestados en una encuesta SANS de 2019 sobre amenazas avanzadas reconocieron no tener visibilidad sobre el uso indebido de información privilegiada. Es crucial implementar herramientas que rastreen continuamente el comportamiento del usuario, así como compilar y correlacionar datos de actividad de varias fuentes. Por ejemplo, puede emplear herramientas de engaño cibernético que instalan trampas para atraer a personas internas maliciosas, monitorear su comportamiento y deducir sus motivaciones. Para reconocer o prevenir ataques existentes o futuros, estos datos se suministrarían posteriormente a otras soluciones de seguridad empresarial.
#4. Hacer cumplir las políticas
Las políticas de seguridad de la organización deben definirse, documentarse y compartirse. También crea el marco adecuado para la aplicación, evitando la incertidumbre. Ningún empleado, contratista, proveedor o socio debe tener dudas sobre qué conducta es apropiada para la política de seguridad de su empresa. Deben ser conscientes de su obligación de abstenerse de compartir información privilegiada con personas no autorizadas.
#5. Fomentar los cambios culturales
Aunque la identificación de los riesgos internos es crucial, es más inteligente y menos costoso disuadir a los usuarios de conductas inapropiadas. El objetivo en este sentido es fomentar un cambio cultural hacia la conciencia de seguridad y la transformación digital. Inculcar los valores adecuados puede ayudar a prevenir el descuido y tratar las causas del comportamiento dañino. La satisfacción de los empleados debe medirse y mejorarse continuamente para detectar señales de alerta temprana de descontento. Los empleados y otras partes interesadas deben participar con frecuencia en programas de capacitación y concientización sobre seguridad que les informen sobre cuestiones de seguridad.
Programa de amenazas internas
Un método probado y verdadero para identificar señales de alerta temprana de amenazas internas, prevenir amenazas internas o minimizar sus efectos es desarrollar un programa de amenazas internas efectivo y consistente. Según la Publicación especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), un programa de amenazas internas es "un grupo coordinado de capacidades bajo administración centralizada que está organizado para detectar y prevenir la divulgación no autorizada de información confidencial". Con frecuencia, se lo denomina "programa de gestión de amenazas internas" o "marco".
Un programa de amenazas internas a menudo consta de pasos para identificar riesgos internos, abordarlos, mitigar sus efectos y aumentar la conciencia de amenazas internas dentro de una organización. Pero primero, veamos por qué vale la pena invertir su tiempo y dinero en un programa de este tipo antes de profundizar más en los componentes de un programa de amenazas internas y las mejores prácticas para implementarlo.
Pasos para crear un programa de amenazas internas eficiente
Hemos desarrollado esta lista de verificación de 10 pasos para ayudarlo a aprovechar al máximo su programa de amenazas internas. Aquí hay 10 métodos que puede tomar para proteger su negocio de las amenazas internas.
#1. Prepárese para crear un programa para combatir los riesgos internos.
La creación exitosa de un programa de amenazas internas requiere preparación, lo que también le ahorrará mucho tiempo y trabajo a largo plazo. Reúna todos los datos que pueda sobre las medidas de ciberseguridad actuales, los estándares de cumplimiento y las partes interesadas durante este paso y decida qué resultados desea que proporcione el programa.
#2. Hacer un análisis de riesgo.
La base de un programa de amenazas internas es definir qué activos considera confidenciales. Estos activos, como información de clientes y empleados, secretos comerciales tecnológicos, propiedad intelectual, prototipos, etc., pueden ser tanto tangibles como intangibles. La mejor manera de encontrar dichos activos y los peligros potenciales para ellos es realizar una evaluación de riesgos de amenazas internas o externas.
#3. Determine cuánto financiamiento se requiere para desarrollar el programa.
Se necesita tiempo y esfuerzo para crear un programa de amenazas internas exitoso. Antes de comenzar, es crucial darse cuenta de que implementar este tipo de programa requiere más que solo un departamento de seguridad cibernética.
#4. Obtener el respaldo de la alta dirección.
En esta etapa, puede utilizar los datos adquiridos en los pasos anteriores para ganar el apoyo de las partes interesadas clave para poner el programa en acción. El CEO, CFO, CISO y CHRO están frecuentemente en la lista de partes interesadas importantes.
#5. Reúna un equipo para responder a las amenazas internas
Un equipo de trabajadores a cargo de todas las fases de la gestión de amenazas, desde la detección hasta la remediación, se conoce como "equipo interno de respuesta a amenazas". Contrariamente a la creencia popular, este equipo no debe estar formado únicamente por profesionales de TI.
#6. Determine las mejores formas de detectar amenazas internas.
El aspecto más crucial de su defensa contra las amenazas internas es la identificación temprana, ya que permite una acción rápida y reduce el costo de reparación. Es por eso que el software para el cumplimiento de PCI DSS, HIPAA y NIST 800-171 incluye con frecuencia un componente de detección de amenazas.
#7. Crear planes de reacción ante incidentes.
Su equipo de respuesta debe practicar escenarios típicos de ataques internos para responder rápidamente a un peligro que ha sido reconocido. El aspecto más crucial de una estrategia de respuesta ante amenazas internas es que debe ser práctica y sencilla de llevar a cabo.
#8. Planificar la investigación y remediación de incidentes.
Planifique su proceso para investigar los problemas de ciberseguridad, así como las posibles medidas correctivas para mitigar los riesgos internos.
#9. Informe a su personal.
Los temas de un curso de capacitación variarán según las amenazas a la seguridad, los recursos y los métodos empleados por una determinada empresa. La evaluación del éxito de la capacitación de concientización sobre amenazas internas es el último paso. Puede hacer esto realizando entrevistas a los empleados, creando pruebas o simulando un ataque interno para observar cómo reaccionan los miembros de su personal.
#10. Revise su programa regularmente.
Hacer un programa de amenazas internas es un proceso continuo. Para que su programa sea efectivo, las amenazas internas deben cambiar y volverse más sofisticadas y peligrosas.
¿Por qué las amenazas internas son tan peligrosas?
Se han encontrado brechas importantes en la defensa contra amenazas internas, según un informe de SANS sobre amenazas avanzadas. Estas lagunas se deben a la falta de datos de referencia sobre la conducta normal de los usuarios, así como a la mala gestión del control de acceso de las cuentas de usuarios privilegiados, que son los principales objetivos de los ataques de fuerza bruta e ingeniería social como el phishing.
Los mejores equipos de seguridad todavía tienen dificultades para identificar las amenazas internas. Por definición, los iniciados tienen acceso legal a los activos y la información de la empresa. Es difícil notar la diferencia entre la actividad legítima y el comportamiento dañino.
La gestión de acceso basada en roles es un control inadecuado, ya que los internos saben con frecuencia dónde se guardan los datos confidenciales y pueden tener demandas de acceso legítimas, lo que agrava el problema.
Por lo tanto, una violación de datos provocada por un interno es sustancialmente más costosa que una provocada por actores de amenazas externos. Los investigadores encontraron que el costo promedio por registro para un ataque malicioso o criminal fue de $166, en comparación con $132 por errores del sistema y $133 por errores humanos, en el Informe de costo de una violación de datos de 2019 del Ponemon Institute.
Puede comprender por qué la creación de un programa de amenazas internas es una buena inversión si considera que las amenazas internas son responsables de aproximadamente un tercio de las filtraciones de datos (Verizon) y el 60 % de los ataques cibernéticos (IBM).
Soluciones de detección de amenazas internas
Dado que están ocultos para las soluciones de seguridad típicas, como los firewalls y los sistemas de detección de intrusos, que se centran en las amenazas externas, las amenazas internas pueden ser más difíciles de detectar o prevenir que los ataques externos. Las medidas de seguridad implementadas no pudieron notar el comportamiento inusual si un atacante se aprovechó de un inicio de sesión autorizado. Además, si los internos maliciosos están familiarizados con los protocolos de seguridad de una organización, pueden evadir la detección más fácilmente.
En lugar de confiar en una única solución, debe diversificar su estrategia de detección de amenazas internas para proteger todos sus activos. Un sistema eficiente de detección de amenazas internas integra varios métodos no solo para monitorear la actividad interna, sino también para eliminar los falsos positivos de una gran cantidad de advertencias.
Las aplicaciones de aprendizaje automático (ML) se pueden utilizar para evaluar el flujo de datos y clasificar las alertas más importantes. Para ayudar a identificar, analizar y notificar al equipo de seguridad sobre cualquier riesgo interno potencial, puede emplear tecnologías forenses y analíticas digitales como User and Event Behavior Analytics (UEBA).
Si bien el monitoreo de la actividad de la base de datos puede ayudar a detectar infracciones de políticas, el análisis del comportamiento del usuario puede crear una línea de base para las actividades típicas de acceso a datos.
¿Cuál es la amenaza interna más común?
Las amenazas internas más típicas
- Acceso privilegiado excesivo
- Abuso de privilegios
- SQL Injection
- Pista de auditoría débil
- Inconsistencias de la base de datos
- Ataques de phishing
¿Cuáles son las 3 principales motivaciones de las amenazas internas?
- Malicioso: Perseguir ganancias financieras o buscar retribución por un delito.
- Negligente: Descuidado o ignorante.
- Compromiso: Desconocimiento del peligro que representan
¿Cuáles son las 3 fases de una amenaza interna?
Los pasos clave para mitigar las amenazas internas son definir, detectar, identificar, evaluar y gestionar.
¿Cuáles son los 5 indicadores principales de un actor de amenazas internas?
- Tipos de amenazas internas
- Entrenamiento inadecuado
- Procesos ineficaces.
- Insatisfacción en el trabajo.
- Dificultades financieras
¿Cuáles son los tres tipos principales de amenazas?
Las amenazas naturales (como los terremotos), las amenazas a la seguridad física (como los cortes de energía que destruyen los equipos) y las amenazas humanas (como los atacantes blackhat que pueden ser internos o externos) son las tres categorías más amplias.
¿Qué no se considera una amenaza interna?
Un ataque no se considera una amenaza interna si proviene de una fuente externa no identificada y no confiable. Para identificar cualquier hábito de tráfico anormal, se necesitan sistemas avanzados de monitoreo y registro para protegerse contra ataques internos.
Artículos Relacionados
- INTELIGENCIA DE AMENAZAS CIBERNÉTICAS: significado, herramientas, analista y salario
- TRÁFICO CON INFORMACIÓN PRIVILEGIADA: significado, ejemplos y acciones
- Programas e ideas de fidelización de clientes (+programas mejor calificados en 2023)
- Qué es la contabilidad forense: descripción general y cómo funciona
Referencias
