Amenazas internas, el mayor riesgo de ciberseguridad para las empresas
El principal riesgo está adentro. Hoy las amenazas internas superan con mucho las amenazas externas.
La proporción es de 70/30.
Cuando hablamos de seguridad interna estamos hablando desde empleados que cometen algún tipo de ilícito, que se roban parte de los datos porque saben que los van a despedir o tienen la oportunidad de ser tentados de manera externa, o porque cometen errores, aunque esto último no es lo que más impacta en ese número.
Lo que más impacta son cuestiones bastante de tipo intencional porque piensan que no solo tenemos los colaboradores propios de la empresa, sino que tenemos consultores externos, tenemos proveedores que hacen acciones de mantenimiento vía remota. Tenemos un montón de entradas a la empresa.
Aquí es donde entramos en la importancia de herramientas como activar los sistemas de prevención de pérdida de datos e inclusive herramientas que tienden a reforzar el control de la postura de la seguridad interna de la empresa para que nadie pueda acceder a lo que no debe acceder y nadie pueda hacer lo que no debe hacer o lo que no tiene privilegio para hacer.
Un consultor, por ejemplo, tendría que proceder así. Llega la reunión de cierre, donde se ratifica que está todo terminado y prolijo. En ese momento hay que decir: “por favor, ahora corten todos los accesos que me dieron para hacer el trabajo y para la gente de mi equipo”. Es una forma no sólo de proteger a la empresa, sino de autoprotegerse porque, ¿qué pasa si ese usuario privilegiado que le habían dado para trabajar al otro día este es tomado por alguien de la empresa y lo usa de manera incorrecta?
Estabas claramente exponiéndote a ser parte de ese 70% de amenazas internas, las más riesgosas.
Tipos de Amenazas Internas
Las amenazas internas pueden clasificarse en varias categorías, cada una con sus propios riesgos y consecuencias:
- Negligentes: Estos empleados comparten información sensible de manera no intencionada debido a un error descuidado. Por ejemplo, en 2016, un empleado de Boeing envió por error un archivo con datos personales de empleados a su cónyuge, con el propósito de proporcionar una plantilla de formato.
- Maliciosas: Estos son actores que roban datos sensibles o sabotean los sistemas de la organización de manera intencional.
- Involuntarias: Este tipo de amenaza ocurre cuando un empleado expone a la organización a una amenaza cibernética sin saberlo, como caer víctima de una estafa de phishing o descargar un archivo infectado con malware.
- Agentes Internos: Este es un contratista de confianza que es reclutado por un actor de amenaza externo para robar información confidencial o sabotear los sistemas de la organización. En 2018, un ciudadano chino que trabajaba para Apple fue arrestado por robar secretos comerciales relacionados con el proyecto de vehículos autónomos de la empresa.
- Sombra: Este empleado utiliza software no autorizado, o incluso herramientas comprometidas, para realizar su trabajo, como usar almacenamiento en la nube personal para almacenar datos sensibles.
Impacto de las amenazas internas
El impacto de las amenazas internas puede ser devastador para las organizaciones. Además de los costos financieros directos asociados con la remediación de los incidentes, las amenazas internas también pueden causar daños a largo plazo a la reputación de una organización y la confianza del cliente. En algunos casos, las amenazas internas pueden incluso amenazar la viabilidad de una organización.
Según el informe de Ponemon Institute, los dos mayores costos son el impacto de la interrupción del negocio debido a la disminución de la productividad del empleado (23% del costo total) y la tecnología, que incluye el valor amortizado y la licencia para el software y el hardware que se implementan en respuesta a incidentes relacionados con amenazas internas (21%).
Prevención de ataques internos
Entonces, ¿cómo podemos prevenir estos ataques internos?
Crear un programa efectivo de gestión de amenazas internas (ITMP) es esencial para mitigar estos riesgos. Este programa debe incluir:
- Identificación del alcance y objetivos del programa: Determinar los objetivos del programa de amenazas internas, incluyendo los activos e información a proteger, los riesgos a mitigar y los interesados a involucrar.
- Desarrollo de políticas y procedimientos: Desarrollar políticas y procedimientos claros que aborden las amenazas internas y definan los roles y responsabilidades de los diferentes interesados.
- Realización de una evaluación de riesgos: Identificar los activos críticos e información que podrían ser objetivo de las amenazas internas, y evaluar la probabilidad e impacto de diferentes tipos de amenazas internas.
- Implementación de controles técnicos: Implementar controles técnicos (por ejemplo, monitoreo de usuarios y análisis de comportamiento, controles de acceso, prevención de pérdida de datos) para detectar y prevenir amenazas internas.
- Provisión de capacitación y concienciación: Educar a los empleados e interesados sobre los riesgos de las amenazas internas, las políticas y procedimientos del programa, y cómo informar sobre comportamientos sospechosos.
- Monitoreo y revisión: Monitorear continuamente la efectividad del programa, revisando las políticas y procedimientos para asegurar que están actualizados.
- Respuesta e investigación: Desarrollar un plan de respuesta a incidentes para responder a las amenazas internas, incluyendo procedimientos para investigar y gestionar incidentes.
- Mejora continua: Mejorar continuamente el programa basándose en los comentarios y nuevas amenazas, asegurando que se alinea con la estrategia de seguridad de la organización.
Al implementar un programa de gestión de amenazas internas, las organizaciones pueden detectar y mitigar las amenazas internas antes de que causen daño. Aunque los riesgos que representan las amenazas internas pueden parecer desalentadores, es factible y está al alcance de las organizaciones implementar medidas efectivas para mitigar estos riesgos.