¿Qué son las amenazas internas y cómo puede abordarlas?
Aquí encontrará todo lo que necesita saber sobre las amenazas internas: cuáles son, cómo funcionan, los tipos más comunes y cómo proteger su organización.
Para las organizaciones las amenazas internas representan un problema importante que está en crecimiento, ya que el factor humano es a menudo el más difícil de controlar y predecir cuándo se trata de la seguridad y la protección de los datos. Con la digitalización, la cantidad de datos digitales está creciendo exponencialmente y, junto con esto, también está aumentando el número de interacciones humanas y del sistema con los datos. Más interacción implica exponer los datos a más vulnerabilidades de seguridad.
Los riesgos potenciales de las amenazas internas son numerosos, incluyendo el fraude financiero, la corrupción de datos, el robo de información valiosa y la instalación de malware.
Estos incidentes pueden conducir a filtraciones de datos que exponen la información confidencial, como Información de Identificación Personal (PII) o Propiedad Intelectual (IP) y pueden generar multas elevadas, mientras que detectarlos no es una tarea fácil para los equipos de seguridad.
¿Qué son las amenazas internas en la ciberseguridad?
Las amenazas internas son riesgos de ciberseguridad que se originan dentro de la propia organización. Pueden ser causados por usuarios con acceso legítimo a los activos de la empresa, incluidos empleados actuales o anteriores, contratistas, socios comerciales, proveedores externos, etc. Las amenazas internas pueden variar notablemente en conocimiento, motivación, intención y nivel de acceso.
Las medidas de seguridad tradicionales, como los firewalls o los sistemas antivirus, se centran en amenazas externas y no siempre son capaces de identificar las amenazas que surgen del interior de la organización. Además de ser invisibles para las soluciones de seguridad tradicionales, los ataques internos pueden ser más difíciles de detectar o prevenir que los ataques externos y pasan desapercibidos durante meses o años.
Datos y cifras: ¿qué tan grave es el problema de las amenazas internas?
El Informe Global Sobre el Coste de las Amenazas Internas de 2020 del Ponemon Institute revela una tendencia preocupante en el aumento de las amenazas internas, tanto en términos de coste general como de número de incidentes. Según el estudio, la cantidad de incidentes de ciberseguridad causados por personas con información privilegiada aumentó en un 47% desde 2018. Al mismo tiempo, el coste de estos incidentes aumentó un 31%, de $8.76 millones en 2018 a $11.45 millones en 2020.
En una Encuesta de Investigación Profesional del Wall Street Journal realizada a ejecutivos de ciberseguridad en casi 400 empresas, el 67% de ellos afirmó estar preocupados por las amenazas internas representadas por los empleados. Publicado en junio de 2020, los resultados de la encuesta muestran una correlación entre el tamaño de la empresa y la preocupación por las amenazas internas: cuanto mayor es la empresa, mayor es la preocupación. Además, según la encuesta, la preocupación por las amenazas internas crece en mayor medida que la preocupación por otras amenazas de ciberseguridad.
A medida que el panorama de las amenazas internas continúa evolucionando y el número de incidentes aumenta, es hora de que las empresas estén más alertas sobre estas amenazas. Los empleados generalmente saben dónde se encuentran los datos confidenciales dentro de la organización y, a menudo, tienen niveles elevados de acceso, por lo que distinguir entre la actividad normal de un usuario y la actividad potencialmente peligrosa es un desafío.
Tengamos una vista general sobre los tipos, la detección y la mitigación de las amenazas internas.
Tipos de amenazas internas
Interno Malicioso u Turncloak: se refiere a alguien que usa su privilegio de acceso para exfiltrar o robar datos y usarlos con el objetivo de obtener ganancias personales o financieras. Las amenazas Interno Malicioso incluyen acceder y divulgar información confidencial sin autorización, realizar transacciones fraudulentas y sabotear los sistemas, la red o los datos de la organización. Los empleados despedidos y descontentos, así como aquellos con acceso de alto nivel, pueden causar este tipo de incidentes.
Interno Negligente o Peón: se refiere al personal negligente o descuidado que, por error, divulga datos confidenciales o inadvertidamente pone en riesgo los datos de la empresa. Estas amenazas incluyen el uso indebido de activos, el mal manejo de datos y la instalación de aplicaciones no autorizadas (shadow IT). Los empleados negligentes pueden tener buenas intenciones, pero pueden convertirse en víctimas de ataques de phishing o ingeniería social.
Internos Colusivos: se refiere al personal que colaborará con terceras personas que no pertenecen a la organización para comprometerla. Estos casos generalmente involucran fraude, robo de datos o una combinación de ambos. Aunque es la amenaza menos común, puede tener altos costes.
El Instituto Ponemon identificó un empleado o contratista negligente como el tipo más común de amenaza interna, mientras que las amenazas de incidentes más costosos fueron los robos de credenciales, que fueron los menos reportados y los más caros.
Los motivos de las amenazas internas
Los motivos pueden variar: el personal puede actuar por resentimiento hacia su empleador, puede simplemente querer dinero o las amenazas pueden ser un acto de espionaje corporativo o estatal. Las amenazas internas no intencionales pueden ocurrir debido a la falta de conocimiento, la curiosidad o la conveniencia, así como por tecnología mal enfocada. Al comprender los motivos, los equipos de seguridad pueden ser más proactivos en su enfoque para defenderse de las amenazas internas.
Amenazas internas en la era del trabajo remoto
La pandemia del coronavirus ha acelerado la revolución del trabajo remoto y muchas compañías se han visto obligadas de repente a implementar políticas de teletrabajo y tener a sus empleados trabajando desde casa.
El trabajo remoto está abriendo nuevas amenazas de seguridad interna, y las empresas están luchando para mantenerse al día con estos riesgos sin precedentes. La nueva norma de trabajo remoto significa que no hay supervisión cara a cara y poca o ninguna capacitación para manejar nuevos riesgos de seguridad. Los empleados también pueden enfrentarse a más distracciones en su hogar, junto con el estrés subyacente de la pandemia y la presión laboral habitual. Las divulgaciones accidentales pueden suceder fácilmente, ya que las líneas entre el trabajo y el hogar, el profesional y la familia están más borrosas que nunca.
El trabajo remoto también puede traer consigo muchas oportunidades de robo de datos, incluida la pérdida o apropiación ilegal de dispositivos físicos, la posibilidad de compartir contraseñas, claves de cifrado y equipos portátiles de la empresa con terceros desconocidos.
La amenaza interna está muy presente cuando se utilizan plataformas de colaboración en el flujo de trabajo (WSC) como Slack o Mattermost. Los empleados pueden compartir accidentalmente una base de datos de clientes, revelar intencionalmente un secreto comercial o compartir números de Seguridad Social en la nube pública. La mayor portabilidad de los datos es otro factor de amenaza, que presenta un alto riesgo de pérdida o robo de datos. Los empleados que trabajan desde casa pueden transferir, compartir o eliminar datos fácilmente, y hacer que la organización pierda ingresos, recibir una multa por incumplimiento o dañar su reputación.
Por lo tanto, trabajar de forma remota, especialmente para organizaciones sin planes sólidos de trabajo remoto, significa que sus activos y datos confidenciales son más vulnerables durante la pandemia global. Implementar las herramientas y tecnologías adecuadas y prestar más atención a los datos de la empresa puede disminuir el riesgo de incidentes cibernéticos.
Tipos comunes de ataques internos
Hemos recopilado los incidentes internos más frecuentes y las prácticas que representan una amenaza para la seguridad de los datos de una empresa.
1. Ingieniería social
Reconocida como una de las mayores amenazas a la seguridad con la que se enfrentan las empresas, la ingeniería social es una amenaza que implica interacción humana. Por lo general, implica engañar a alguien dentro de la organización para que cometa un error de seguridad o revele información confidencial. Los ataques de ingeniería social tienen diferentes formas, incluyendo phishing y baiting. Las personas que se dedican a la ingeniería social manipulan los sentimientos humanos, como la curiosidad o el miedo, y comprometen la información divulgada por la persona manipulada.
2. Intercambio de datos fuera de la empresa
Los empleados que comparten datos confidenciales, ya sea públicamente o con terceros no autorizados, pueden causar serios problemas. Este tipo de incidentes generalmente ocurre por descuido: la información se envía a la dirección de correo electrónico incorrecta, se presiona un botón de responder a todos en lugar de una simple respuesta, los datos confidenciales se publican accidentalmente.
3. Shadow IT
El uso de dispositivos, software, aplicaciones y servicios no autorizados en el lugar de trabajo a menudo es difícil de rastrear por parte de los departamentos de TI y de aquí proviene el término Shadow IT. Si bien puede mejorar la productividad e impulsar la innovación, el Shadow IT también representa una seria amenaza para la seguridad de los datos y puede provocar fugas de datos, violaciones del cumplimiento normativo y más.
4. Uso de dispositivos no autorizados
Con el auge de las políticas Traiga su Proprio Dispositivo (BYOD) y la proliferación de dispositivos móviles, las organizaciones encuentran muchos problemas de seguridad interna, incluido el riesgo de perder datos debido a la negligencia o las malas intenciones de los empleados. Los dispositivos portátiles y USB, en particular, aunque sean cómodos, son fáciles de perder o robar. Por lo tanto, la negligencia puede conducir fácilmente a desastrosas violaciones de datos, como el infame incidente de seguridad del aeropuerto de Heathrow en el que un empleado descuidado perdió un dispositivo USB con más de 1000 archivos confidenciales.
5. Robo físico de los dispositivos de la empresa
Hoy en día, cada vez es más común que los empleados saquen sus equipos de trabajo o dispositivos portátiles fuera de la oficina. Esto puede suceder por varias razones, incluido el trabajo remoto, asistir a un evento de la industria o visitar a un cliente. Al abandonar la seguridad de las redes de la empresa, los dispositivos de trabajo se vuelven más vulnerables al robo físico y la manipulación externa.
Cómo protegerse contra un ataque interno: prácticas de seguridad
Las organizaciones deberían comenzar a desarrollar pautas e implementar programas integrales de amenazas internas para reducir los riesgos y garantizar que tengan el equilibrio adecuado entre personas, procesos y tecnología. Ser proactivo puede permitir que las organizaciones atrapen a personas mal intencionadas y evitar filtraciones de datos causadas por negligencia de los empleados, protegiendo así sus activos y su reputación.
1. Tomar conciencia de la seguridad
Las empresas deben asegurarse de que todos los empleados conozcan el valioso activo con el que están lidiando y cómo deben administrarlo de manera segura. La tecnología de seguridad continúa progresando, pero el comportamiento humano cambia más lentamente.
Si bien educar a equipos enteros con poca o ninguna experiencia técnica puede ser difícil, todos deben conocer la importancia y las mejores prácticas de ciberseguridad dentro de la empresa. Los empleados deben estar preparados para reconocer el phishing y otros vectores de amenazas en las redes sociales y también deben conocer cómo los atacantes externos pueden abordarlos.
2. Políticas de seguridad
Las políticas organizacionales claramente documentadas son otro aspecto crítico cuando se busca prevenir amenazas internas. Al tener políticas seguras se puede ayudar a evitar malentendidos. Las políticas deben incluir procedimientos para prevenir y detectar actividades extrañas, así como una política de respuesta a incidentes. Una política de acceso de terceros, gestión de cuentas y política de gestión de contraseñas también es extremadamente útil. Al desarrollar políticas y procedimientos de seguridad cibernética, las compañías también deberían considerar ubicar dónde residen sus datos confidenciales, monitorear los flujos de datos y determinar quién puede tener acceso a datos confidenciales.
3. Herramientas de ciberseguridad
La implementación de controles técnicos sólidos también es un paso esencial para mitigar las amenazas internas. Para proteger de manera eficiente todos los activos, las empresas no deben confiar en una sola solución. Para una estrategia exitosa de detección de amenazas internas, se recomienda combinar varias herramientas de seguridad que aumenten la visibilidad y hagan un seguimiento de las acciones de los empleados. Estas herramientas incluyen Monitoreo de actividad del usuario (UAM), Sistemas seguros de información y gestión de eventos (SIEM), software de análisis de comportamiento del usuario (UBA) y soluciones de prevención de pérdida de datos (DLP).
El software DLP está destinado a descubrir datos confidenciales, abordar la pérdida de datos a través de múltiples canales, evitar la divulgación involuntaria de datos, detectar violaciones de la política de uso de datos y ofrecer acciones correctivas. Las herramientas de monitoreo de la actividad del usuario se centran en el usuario en lugar de centrarse en los datos, y a diferencia de las soluciones DLP que administran la actividad de los datos, UAM no limita ni rechaza ninguna acción. El software UBA promete identificar posibles amenazas internas antes de que ocurran, en función de comportamientos anteriores, pero generalmente no proporciona ninguna acción fuera de una alerta cuando se detecta un riesgo de amenaza interna. Las herramientas SIEM pueden rastrear anomalías en toda una red y señalar eventos peligrosos a los equipos de seguridad; sin embargo, estas herramientas generalmente se centran en detectar amenazas externas, no amenazas internas.
Al buscar soluciones que ayuden a mitigar las amenazas internas, las organizaciones deben considerar el impacto en el rendimiento, la facilidad de administración y despliegue, la estabilidad y la flexibilidad de cualquier solución.
Las amenazas internas pueden ser difíciles de identificar e incluso puede ser aún más difícil de evitar que causen daños a la empresa. Sin embargo, al implementar medidas preventivas y mejores prácticas, las organizaciones pueden mitigar las amenazas internas comunes. Al combinar capacitación, alineamiento organizacional y tecnología, el riesgo de estas amenazas se puede reducir significativamente.
¿Cómo ayuda Endpoint Protector a mitigar las amenazas internas?
Endpoint Protector es una solución avanzada de Prevención de Pérdida de Datos (DLP) que minimiza el riesgo de ataques cibernéticos llevados a cabo por el personal interno. Al implementarlo, las empresas pueden garantizar la seguridad de sus datos confidenciales y cumplir con las regulaciones como GDPR, PCI DSS, HIPAA o CCPA. Nuestro software DLP viene con las siguientes características y beneficios:
- Ofrece un enfoque centrado en los datos para proteger la información confidencial;
- Realiza un seguimiento de los datos confidenciales y garantiza que su transferencia, ya sea por correo electrónico u otros servicios de Internet, esté limitada o bloqueada por completo;
- Protege los datos independientemente de si se almacenan en un entorno físico o virtual;
- Ofrece protección multiplataforma para datos confidenciales, siendo compatible con los sistemas operativos Windows, macOS y Linux, así como con Thin Clients y plataformas DaaS;
- Descubre datos confidenciales almacenados en equipos, portátiles, etc. y proporciona acciones de remediación;
- Es fácil de usar y no requiere conocimientos técnicos avanzados para su ejecución;
- Brinda la opción de crear fácilmente políticas de seguridad granulares para usuarios, equipos y grupos.
- Supervisa y controla puertos USB y dispositivos de almacenamiento portátiles;
- Ofrece informes detallados sobre la actividad del usuario y proporciona información valiosa sobre qué datos confidenciales se transfieren, dónde y por quién;
- Se puede escalar fácilmente y tiene varias opciones de implementación según la infraestructura existente de la organización;
- Proporciona una integración perfecta con el Directorio Activo (DA) y la tecnología SIEM.
