La amenaza interna puede presentarse en todo tipo de formas y tamaños. Es por eso, que a los departamentos de TI de las organizaciones les está resultado un hueso duro de roer. Virtualmente, cualquier persona con acceso aprobado para ingresar a la red o datos corporativos es un personaje interno enterado de las políticas de la compañía, o lo que denominan en inglés un “insider”, por lo que su motivación, comportamiento y/o negligencia lo pueden convertir en una amenaza interna.
Los riesgos potenciales asociados con estas amenazas son particularmente alarmantes pues ellos ya cuentan con las credenciales y accesos necesarios para acceder a los datos. Las herramientas tradicionales de seguridad que se conocen hoy, como las encriptaciones, no son de mucha ayuda, debido a que estos insiders ya están autorizados para sobrepasar las medidas de seguridad e ingresar a la data más sensitiva.
¿Cómo proteger a su organización de estos riesgos tan prevalentes?
La detección exitosa de amenazas depende de su habilidad para identificarlas. Esto puede ser difícil de hacer cuando se está mirando a este personaje interno como un grupo único de riesgo potencial, es por esto que desde Absolute Software compartimos los tres perfiles más comunes del insider en las organizaciones, con el fin de que se puedan identificar sus comportamientos y determinar la respuesta adecuada.
1. El Malicioso
Motivación: Rabia, codicia, venganza
Target: Propiedad intelectual, información de clientes/empleados, datos de pagos… cualquier cosa que pueda ser vendida o utilizada para dañar la compañía y su reputación
¿Cómo abordar la amenaza?
- Atención a actividad no conforme con procedimientos y políticas
- Trabajar de cerca con Recursos Humanos y líderes de equipo que puedan aportar una visión temprana a las situaciones en las que un usuario pueda tener alguna motivación para realizar un daño
- Responder inmediatamente cuando las anomalías ocurran
El insider malicioso es el tipo de persona puede causar infinidad de daños a la organización, puesto que tiene el acceso y las credenciales internas para entrar a su infraestructura y data sensitiva. Con frecuencia este perfil pasa desapercibido hasta que el daño se ha realizado, así que la mejor opción es enfocarse en tomar medidas preventivas:
- Definir unos lineamientos de comportamiento y acceso a datos con base en roles y responsabilidades
- Monitorear cambios en actividades
- Investigar inmediatamente que la actividad no sea compatible con las políticas y procedimientos
- Implementar medidas de seguridad preventivas tales como rechazar o eliminar información crítica en un terminal apenas se descubre un potencial riesgo
2. El Negligente
Motivación: Ninguna
Target: Cualquier cosa
¿Cómo abordar la amenaza?
- Educar a los usuarios sobre el comportamiento apropiado
- Hacer pruebas para medir su comprensión
- Incluya conducta responsable de seguridad de TI como condición de empleo
El insider negligente es uno de los más difíciles de identificar. No tienen una intención maliciosa y con frecuencia cometen errores a pesar de tratar de ser productivos o útiles para ellos mismos o la organización. El comportamiento negligente incluye el uso de aplicaciones prohibidas o de la lista negra para acceder a archivos, escribir contraseñas encriptadas, compartir credenciales y otras actividades internas. Para este tipo de amenazas se debe enfocar en corregir el comportamiento del usuario:
- Implementar sesiones continuas de entrenamiento
- Realizar test aleatorios incluyendo phishing de correos electrónicos u otros escenarios de prueba
- Tener enfocados los usuarios que no han pasado los test o que han demostrado comportamientos no compatibles con las políticas y procedimientos para así ayudarles a mejorar
- Implementar medidas de seguridad no invasivas cada vez que pueda. Por ejemplo, active alertas proactivas para que se le notifique si un dispositivo está en la ubicación equivocada o si se desactiva la encriptación
- Tome acciones inmediatas si este tipo de condiciones ocurren para prevenir incidentes de seguridad más serios
3. El Insospechado y Activo
Motivación: Codicia, ego, prestigio, notoriedad
Target: Propiedad intelectual, información sobre clientes / empleados, data sobre pagos. Todo lo que pueda ser vendido para beneficio o utilizado para demostrar su habilidad de infiltrar una organización
¿Cómo abordar la amenaza?
- Monitorear la red y otras actividades
- Educar a los usuarios
Este es el escenario más siniestro a enfrentar porque quiere decir que su organización es un blanco fácil y con un propósito específico para ser infiltrada. Esto ocurre cuando un externo malicioso asume la identidad de un insider de confianza sin su conocimiento. Con frecuencia implementa una estafa a través de phishing esperando a que algún empleado le de click. Una vez esto ocurre, la persona externa puede ocultarse detrás del usuario y navegar por las redes internas y datos a su gusto, pasando de un usuario a otro hasta que se conecta a un miembro senior del staff, quien tiene un mayor acceso a la posible información violada.
El escenario del insider insospechado es ejecutado con extremo cuidado y puede ser muy difícil de anticipar y detectar, hasta que se produce la fuga de datos. En estos casos usted debe incluir medidas preventivas, detectar comportamiento sospechoso del usuario y la detección de cualquier actividad no acorde con las políticas y procedimientos, haciendo foco en una salida no autorizada de información sensible de la red.
Algunas buenas prácticas adicionales para tomar en cuenta
Dependiendo del tamaño de su organización, usted puede desarrollar equipos de especialistas dentro de su departamento de TI para que tengan como objetivo enfocarse en cada uno de las categorías de amenazas de insiders. Al alinear a los expertos in-house con las motivaciones y riesgos que representan cada tipo de amenaza, usted puede asegurar que su infraestructura y los diferentes protocolos de seguridad estarán también alineados. En muchas ocasiones hay una superposición, por lo que estos especialistas deberían trabajar de manera colaborativa. Es por esto que, al entender la motivación particular de cada categoría de amenaza, su organización podrá detectar y responder efectivamente a los matices de cada escenario. Finalmente, es la motivación la que dirige el comportamiento.
Conclusión: prevención para mitigar la amenaza interna
Como con la mayoría de los escenarios de seguridad de TI, si no quiere que su única solución sea la de limpiar después de que ocurra el incidente de seguridad, la mejor opción para mitigar la amenaza interna es enfocarse en prevención. En este sentido Absolute Software recomienda:
- Trabajar de cerca con los líderes senior de la organización y recursos humanos para integrar un comportamiento responsable de seguridad de TI
- Hacer pruebas frecuentes y aleatorias a sus usuarios
- Mantener una vigilancia constante y persistente para que pueda monitorear el usuario, los datos y el comportamiento de la red
- Implementar alertas preventivas para que sea notificado cuando ocurren anomalías
Por: Redacción Sofía Pérez, Gerente de Ventas y Negocios para Latinoamérica y el Caribe de Absolute Software.
0 Comentarios
Deje su comentario