Los "infiltrados" pueden ser cualquier usuario que tenga o haya tenido acceso a la red, sistemas o data de una empresa. Los equipos de seguridad reducirán el riesgo y frecuencia de las amenazas internas.
Se consideran amenazas internas a las causadas por una persona vinculada a la propia organización que usa sus privilegios para afectar negativamente a la confidencialidad e integridad de la misma.
Estos "infiltrados" pueden ser cualquier usuario que tenga o haya tenido acceso a la red, sistemas o datos de la empresa, incluidos empleados y exempleados, pero también a entes externos como proveedores, socios y ladrones de credenciales.
Este tipo de amenazas no paran de aumentar tanto en frecuencia como en coste.
En la actualidad, alrededor de un 25% de las incidencias de seguridad implica la presencia de infiltrados. Sin embargo, esto no significa que todas sean provocadas por una persona malintencionada.
Aunque es cierto que el objetivo de estos ataques puede ser un beneficio económico, el robo de información, el espionaje o el sabotaje a una empresa, también pueden ser causados por errores accidentales.
De hecho, las amenazas provocadas por empleados descuidados o negligentes son las más prevalentes (56%), según un informe sobre el coste de las amenazas internas realizado por el Instituto Ponemon.
Esto ocurre cuando los empleados actúan de manera incorrecta o toman malas decisiones, por ejemplo, por comodidad. Otro dato a tener en cuenta es que los robos de credenciales de usuarios se han duplicado en los últimos dos años.
A pesar del aumento del trabajo en remoto, y con él la dificultad de controlar las amenazas internas, muchas empresas siguen centrándose en la defensa frente a factores externos, lo que puede poner en riesgo sus resultados.
Conocer las vulnerabilidades asociadas a los empleados y a sus procesos permite prevenir la pérdida de data y reducir las probabilidades de sufrir amenazas. Para ello, se recomienda poner especial atención en estos indicadores tempranos de un posible incidente:
Acciones que pueden parecer inofensivas, como descargar documentos con información sensible en un USB o enviarlos por email para terminar de trabajar en casa, en realidad suponen un riesgo considerable para la empresa. Por esta razón, la formación debe ser una prioridad y tiene que adaptarse a las necesidades específicas de cada empresa.
Por ejemplo, hace algunos años, nos hubiera parecido muy sospechoso que un empleado accediera a los datos a horas intempestivas o desde una ubicación distinta, pero hoy en día es algo normal. Por este motivo, no hay que pasar por alto los factores externos que podrían inspirar a usuarios internos potencialmente maliciosos, como la venganza, los problemas financieros o el conflicto de valores.
Es importante detectar a estos empleados descontentos para poder tener una actitud proactiva en vez de defensiva. Por un lado, debemos reforzar la comunicación y colaboración entre trabajadores y, por otro, supervisar regularmente la actividad de los usuarios y monitorizar su interacción con los datos.
El tiempo en contener un incidente de origen interno ha aumentado en los últimos años: se invierten de media 85 días, y solo el 12% de los incidentes consigue frenarse en menos de un mes.
Si una organización no cuenta con un proceso eficaz para enfrentarse a las amenazas internas, el tiempo de respuesta va a ser mayor, y, por lo tanto, también su coste y los daños.
Las actividades sospechosas tienen que ser investigadas en cuestión de minutos.
Para ser eficiente, un programa de gestión de amenazas internas necesita la participación de todos los departamentos de una empresa. Por eso, una plataforma que destaque los datos pertinentes en informes fáciles de comprender facilitará la toma de decisiones.
Hay que actualizar el enfoque, encontrar una solución centrada en las personas que modifique la forma en la que las empresas detectan, previenen y responden a los incidentes, teniendo en cuenta el nivel de riesgo de los usuarios y de sensibilidad de los datos.
Es imprescindible que los equipos de seguridad tengan a su disposición tecnología que les dé la capacidad de reducir el riesgo asociado a las amenazas internas y su frecuencia, acelerar la respuesta a incidentes y aumentar la eficacia de sus operaciones.
Pero, al mismo tiempo, no se puede desestimar la importancia de la formación. Los empleados tienen que conocer plenamente y aplicar las leyes, normativas o requisitos relacionados con su actividad.
Además, tienen que ser conscientes de que su comportamiento afecta directamente a la seguridad de la organización: sus dispositivos necesitan estar protegidos, los datos confidenciales no deben enviarse a ubicaciones no seguras, no pueden infringir las políticas de seguridad solo para simplificar sus tareas, deben instalar las últimas versiones de los parches y actualizaciones…
No tiene sentido que las herramientas de seguridad de las empresas se limiten a analizar sus ordenadores, redes y sistemas, sobre todo, en lo que concierne a las amenazas internas. Ahí la principal fuente de riesgo no estará en ninguna de estas partes, sino en las personas.
