©[xresch] via Pixabay.com. / Montaje: 20Bits.

Fernando Anaya Country manager de Proofpoint. Experto en Ciberseguridad.

Se consideran amenazas internas a las causadas por una persona vinculada a la propia organización que usa sus privilegios para afectar negativamente a la confidencialidad e integridad de la misma. Estos "infiltrados" pueden ser cualquier usuario que tenga o haya tenido acceso a la red, sistemas o datos de la empresa, incluidos empleados y exempleados, pero también a entes externos como proveedores, socios y ladrones de credenciales.

Este tipo de amenazas no paran de aumentar tanto en frecuencia como en coste. En la actualidad, alrededor de un 25% de las incidencias de seguridad implica la presencia de infiltrados. Sin embargo, esto no significa que todas sean provocadas por una persona malintencionada.

Aunque es cierto que el objetivo de estos ataques puede ser un beneficio económico, el robo de información, el espionaje o el sabotaje a una empresa, también pueden ser causados por errores accidentales.

De hecho, las amenazas provocadas por empleados descuidados o negligentes son las más prevalentes (56%), según un informe sobre el coste de las amenazas internas realizado por el Instituto Ponemon. Esto ocurre cuando los empleados actúan de manera incorrecta o toman malas decisiones, por ejemplo, por comodidad. Otro dato a tener en cuenta es que los robos de credenciales de usuarios se han duplicado en los últimos dos años.

Errores que aumentan la vulnerabilidad

A pesar del aumento del trabajo en remoto, y con él la dificultad de controlar las amenazas internas, muchas empresas siguen centrándose en la defensa frente a factores externos, lo que puede poner en riesgo sus resultados.

Conocer las vulnerabilidades asociadas a los empleados y a sus procesos permite prevenir la pérdida de datos y reducir las probabilidades de sufrir amenazas. Para ello, se recomienda poner especial atención en estos indicadores tempranos de un posible incidente:

⚫︎ Formación y concienciación insuficientes : Si los empleados no están suficientemente formados en materia de ciberseguridad es más probable que actúen de manera negligente, incluso sin ser conscientes de que lo están haciendo.

Acciones que pueden parecer inofensivas, como descargar documentos con información sensible en un USB o enviarlos por email para terminar de trabajar en casa, en realidad suponen un riesgo considerable para la empresa. Por esta razón, la formación debe ser una prioridad y tiene que adaptarse a las necesidades específicas de cada empresa.

⚫︎ Empleados descontentos y factores externos que influyen negativamente: La evolución de los métodos de trabajo dificulta la detección de actividades potencialmente maliciosas. Por ejemplo, hace algunos años, nos hubiera parecido muy sospechoso que un empleado accediera a los datos a horas intempestivas o desde una ubicación distinta, pero hoy en día es algo normal.

Por este motivo, no hay que pasar por alto los factores externos que podrían inspirar a usuarios internos potencialmente maliciosos, como la venganza, los problemas financieros o el conflicto de valores.

Es importante detectar a estos empleados descontentos para poder tener una actitud proactiva en vez de defensiva. Por un lado, debemos reforzar la comunicación y colaboración entre trabajadores y, por otro, supervisar regularmente la actividad de los usuarios y monitorizar su interacción con los datos.

⚫︎ Procesos lentos e ineficaces: El tiempo en contener un incidente de origen interno ha aumentado en los últimos años: se invierten de media 85 días, y solo el 12% de los incidentes consigue frenarse en menos de un mes.

Si una organización no cuenta con un proceso eficaz para enfrentarse a las amenazas internas, el tiempo de respuesta va a ser mayor, y, por lo tanto, también su coste y los daños. Las actividades sospechosas tienen que ser investigadas en cuestión de minutos.

Para ser eficiente, un programa de gestión de amenazas internas necesita la participación de todos los departamentos de una empresa. Por eso, una plataforma que destaque los datos pertinentes en informes fáciles de comprender facilitará la toma de decisiones.

⚫︎ Soluciones DLP y procedimientos anticuados: La prevención de la pérdida de datos no tiene un enfoque moderno adaptado a los nativos digitales, así que los empleados buscan formas de eludir los procedimientos, lo que aumenta involuntariamente la superficie de ataque y deja sin efecto el objetivo inicial de la implementación de una solución DLP (Data Loss Prevention).

Hay que actualizar el enfoque, encontrar una solución centrada en las personas que modifique la forma en la que las empresas detectan, previenen y responden a los incidentes, teniendo en cuenta el nivel de riesgo de los usuarios y de sensibilidad de los datos.

Prevenir y enfrentarse a los ataques desde dentro

Es imprescindible que los equipos de seguridad tengan a su disposición tecnología que les dé la capacidad de reducir el riesgo asociado a las amenazas internas y su frecuencia, acelerar la respuesta a incidentes y aumentar la eficacia de sus operaciones. Pero, al mismo tiempo, no se puede desestimar la importancia de la formación.

Los empleados tienen que conocer plenamente y aplicar las leyes, normativas o requisitos relacionados con su actividad. Además, tienen que ser conscientes de que su comportamiento afecta directamente a la seguridad de la organización: sus dispositivos necesitan estar protegidos, los datos confidenciales no deben enviarse a ubicaciones no seguras, no pueden infringir las políticas de seguridad solo para simplificar sus tareas, deben instalar las últimas versiones de los parches y actualizaciones…

No tiene sentido que las herramientas de seguridad de las empresas se limiten a analizar sus ordenadores, redes y sistemas, sobre todo, en lo que concierne a las amenazas internas. Ahí la principal fuente de riesgo no estará en ninguna de estas partes, sino en las personas.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.