5 aspectos a tener en cuenta en una auditoría sobre amenazas internas
En el mundo actual de la tecnología de la información, las amenazas internas son una de las principales razones de las violaciones de la seguridad. La definición de amenaza interna incluye no sólo las acciones maliciosas intencionadas, sino también los accidentes y los casos de negligencia. Según el Informe mundial 2022 sobre el coste de las amenazas internas del Instituto Ponemon, «los incidentes de amenazas internas han aumentado un 44% en los dos últimos años, y los costes por incidente han subido más de un tercio, hasta los 15,38 millones de dólares». Esta tendencia al alza del riesgo de amenazas internas también ha sido observada por diferentes partes interesadas en años anteriores.
Para combatir esta creciente amenaza a la seguridad de la información, las organizaciones deben desarrollar programas de mitigación de amenazas internas. El Instituto Nacional de Normas y Tecnología (NIST) define un programa contra las amenazas internas como «un conjunto coordinado de capacidades autorizadas por la organización y utilizadas para disuadir, detectar y mitigar la divulgación no autorizada de información».
Además de desarrollar programas, las organizaciones también deben realizar auditorías periódicas de estos programas, tanto internamente como con la ayuda de terceros. En la mayoría de las auditorías de cumplimiento también se examinan los enfoques de mitigación de amenazas internas. La auditoría eficaz de sus políticas de seguridad para la evaluación y gestión de riesgos es fundamental para el éxito empresarial y le permite encontrar cualquier vulnerabilidad en su programa de seguridad y estrategias de mitigación.
Guía de mitigación de las amenazas internas
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA.gov) publica una amplia guía de libre acceso sobre las amenazas internas denominada Guía de mitigación de las amenazas internas. La edición más reciente de esta guía se publicó hace menos de dos años y contiene una amplia gama de información y sugerencias que ayudan a todas las organizaciones, independientemente de su tamaño o sector, a crear un programa eficaz de mitigación de las amenazas internas.
La guía CISA incluye recomendaciones sobre medidas a emplear en su programa de mitigación. Cabe destacar que las soluciones de prevención de pérdida de datos (DLP) figuran como la segunda medida más común, justo después de la formación de concienciación de los usuarios. Por lo tanto, la prevención de pérdida de datos puede percibirse como la tecnología de base para ayudar a las organizaciones a evitar incidentes de seguridad como consecuencia de actividades internas.
He aquí 5 cuestiones importantes mencionadas en la Guía de mitigación de amenazas internas que debería tener en cuenta para una auditoría interna de amenazas internas con el fin de verificar el rendimiento de su programa de mitigación de amenazas internas en la práctica, principalmente desde el punto de vista de la prevención de pérdida de datos.
1. Las buenas prácticas no bastan
Muchos programas sobre amenazas internas se centran en la concienciación sobre la seguridad, la educación, la supervisión de las condiciones de trabajo y otras tareas que recaen principalmente en los departamentos de recursos humanos. Es una muy buena suposición que, si los empleados están bien formados y son bien tratados, el riesgo de posibles amenazas internas, ya sean accidentales, intencionadas o causadas por negligencia, se reduce en gran medida.
Sin embargo, aunque estas buenas prácticas deberían constituir la base del programa contra las amenazas internas, no bastan para eliminar todas las amenazas potenciales. Incluso el empleado mejor formado comete errores. Incluso si todo su personal está muy bien pagado y bien tratado, puede verse tentado por una gran suma a robar secretos comerciales y venderlos a la competencia, como en el caso AMSC/Sinovel de 2011.
Su programa comienza con las mejores prácticas, pero es una buena idea seguir con más. Citando la guía CISA, debe «emplear prácticas y sistemas que limiten o supervisen el acceso a todas las funciones de la organización. Esas prácticas y sistemas, a su vez, limitan la cantidad de daño que puede hacer un infiltrado, tanto si el acto es intencionado como si no». Como parte de su auditoría interna, debe asegurarse de que todos los elementos del programa son igualmente eficaces.
2. La prevención requiere una vigilancia cuidadosa
No todos los empleados corren el riesgo de convertirse en infiltrados maliciosos. Según PricewaterhouseCoopers, solo el 10% de los empleados muestra un comportamiento perturbador. Por lo tanto, uno de los objetivos más importantes para mitigar las amenazas internas es encontrar a los empleados de alto riesgo y asegurarse de que sus acciones están bien supervisadas.
El comportamiento perturbador suele comenzar con actividades maliciosas de bajo riesgo que siguen patrones similares a las de alto riesgo. Por ejemplo, si un empleado tiene tendencia a enviar información potencialmente sensible a compañeros de trabajo o socios comerciales a través del correo electrónico o plataformas de mensajería, estos intentos al principio pueden tener un impacto potencial bajo. Luego, pueden escalar a problemas mayores que impliquen el envío de datos críticos a personas ajenas, como antiguos empleados. Debido a esto, los mecanismos empleados como parte del programa de mitigación deben incluir la supervisión de todos los sistemas de información a los que acceden personas internas potencialmente maliciosas y medidas para aumentar los controles de acceso con el fin de mejorar la protección de aquellos que mostraron un comportamiento sospechoso.
Por lo tanto, su auditoría de amenazas internas debe observar si existen mecanismos para supervisar eficazmente los comportamientos potencialmente perturbadores cuando se inician y si las advertencias suministradas por los sistemas automatizados conducen a limitaciones de acceso o a una mayor supervisión.
3. Deben tomarse medidas antes de la escalada
Como se ha mencionado anteriormente, la gestión de la escalada es un aspecto muy importante de la detección de amenazas internas y de la concienciación sobre las mismas. Los intrusos potencialmente malintencionados pueden empezar con acciones que parecen obvias y son fáciles de bloquear. Por ejemplo, pueden intentar copiar la propiedad intelectual de la empresa en un pen drive o enviarla a su propio correo electrónico privado. Sin embargo, si eso falla, puede que simplemente intenten hacer una foto de la pantalla de su terminal utilizando su dispositivo móvil privado, y ese tipo de acción es muy difícil de prevenir.
Si se disparan las alarmas en función de la actividad de los usuarios y los administradores de los sistemas de seguridad informática reaccionan a ellas en tiempo real, esas escaladas podrían conducir a una respuesta eficaz a los incidentes con el uso de cámaras y el examen de los dispositivos privados en caso de intento de abandonar las instalaciones de la empresa, lo que, por supuesto, requeriría la participación de las fuerzas de seguridad. Sin embargo, para que estas reacciones sean posibles, es necesaria una detección precoz y un sistema de alarma eficaz que no esté plagado de falsos positivos.
4. La identificación de datos sensibles debe automatizarse
Las actividades internas maliciosas pueden adoptar distintas formas. La guía CISA identifica cinco expresiones: violencia, espionaje, robo, sabotaje y cibernética -esta última incluye las otras cuatro expresiones, pero en el contexto de los sistemas informáticos, no de la seguridad física-. Mientras que las consecuencias de la violencia y el sabotaje son principalmente ataques internos que provocan interrupciones de infraestructuras críticas, tanto el robo como el espionaje están asociados al acceso no autorizado a información sensible.
Cuanto mayor es la organización, más diversa es la información que procesa, y más posibilidades hay de que parte de esta información sean datos sensibles. Cuanto mayor sea el número de sistemas a los que puedan acceder los empleados, mayor será la probabilidad de que tengan acceso a algún tipo de información sensible. Incluso los programas de identificación de datos más exhaustivos pueden omitir accidentalmente algunos datos sensibles.
Para asegurarse de que las amenazas internas tienen un acceso limitado y no pueden robar información sensible, las soluciones de mitigación deben ser capaces de identificar dicha información automáticamente en lugar de depender de actividades manuales. Por lo tanto, su auditoría debe comprobar si las medidas empleadas para mitigar la pérdida de datos pueden realizar dicha identificación automática de forma eficaz.
5. Ir más allá de la prevención de la pérdida de datos
Aunque las soluciones de prevención de pérdida de datos han sido enumeradas por la guía CISA como la herramienta tecnológica más importante para ayudar a mitigar las amenazas internas a los sistemas de TI, hay varias otras tecnologías que también se recomiendan. Entre ellas se incluyen el análisis del comportamiento de los usuarios, la supervisión y vigilancia de los empleados, la gestión de incidentes y eventos de seguridad (SIEM), la gestión de respuesta a incidentes (IRM), el intercambio de inteligencia sobre amenazas, la gestión de acceso privilegiado (PAM) y la inteligencia de tráfico de red.
Su auditoría de amenazas internas debe ver si estas medidas también están en uso y, si no es así, si las áreas cubiertas por estas soluciones, como el acceso a la red y la conectividad, la autenticación y los usuarios privilegiados están protegidos con el uso de diferentes herramientas, sistemas o procedimientos. La exhaustividad es uno de los aspectos más importantes de un programa de mitigación, simplemente porque basta una pequeña filtración para causar estragos en la empresa.
