Para la mayoría de los equipos de riesgos internos, la principal preocupación suele ser los empleados que abandonan la empresa. Y no les faltan motivos: ya sea por descuido o de manera malintencionada, estos empleados pueden considerar que tienen derechos sobre la propiedad intelectual que han creado y cuando se van, su intención es llevársela. La buena noticia es que es posible supervisar a los empleados que presentan su renuncia incluyéndolos en un grupo de alto riesgo. ¿Pero y qué hay de las amenazas internas, menos frecuentes pero igual de dañinas? Algunos ejemplos son el espionaje, el sabotaje y el fraude. Un equipo de gestión de amenazas internas de una aseguradora de salud contestó a esa misma pregunta: ¿qué peligros ocultos nos acechan en la empresa?
En este artículo, contamos cómo esta aseguradora de salud internacional descubrió una nueva amenaza interna (un fraude de registro horario), y usó Proofpoint Insider Threat Management (ITM) para reducir el riesgo y protegerse.
Un enfoque manual y descoordinado de los riesgos internos
En 2024, la aseguradora de salud se enfrentaba a varios retos. A medida que crecía la empresa, también aumentaba el volumen de información sanitaria (PHI), la savia de su negocio. En la década anterior, la empresa hizo varias adquisiciones, lo que resultó en una combinación de distintas prácticas y culturas de seguridad. Además, durante la temporada de elección de beneficios sociales hubo una gran cantidad de personal externo de apoyo, lo que aumentó el número de contratistas con acceso a los datos confidenciales.
Para colmo, el equipo de riesgos internos usaba una herramienta antigua que no proporcionaba la visibilidad que necesitaban. En realidad, se utilizaban varias herramientas diferentes para investigar los incidentes provocados por personal interno. Esto suponía recopilar información de diversas fuentes para generar la conclusión final. En algunos casos, se necesitaban más de 12 horas de búsqueda en los registros de Microsoft para hallar solo un punto de datos clave. Lo que es más, la herramienta heredada del equipo requería que se instalara un agente en el ordenador del usuario antes de que hubiera algún comportamiento de riesgo, por lo que, dada la naturaleza impredecible de las amenazas internas, resultaba casi inservible.
Tras un análisis a fondo, el equipo de riesgos internos eligió Proofpoint ITM. La decisión se basaba en su profunda visibilidad, el acceso a los datos históricos de los usuarios para las investigaciones, los controles adaptables de riesgos y la eficiencia operativa.
Detección de riesgos desconocidos con supervisión dinámica
Solo unos meses después de desplegar Proofpoint ITM, el equipo de riesgos internos utilizó esta solución para identificar de manera proactiva numerosas amenazas internas, lo que les permitió evitar daños a la organización.
Uno de los principales casos detectados fue un fraude de registro horario. Este tipo de fraude se produce cuando se paga a un empleado para que realice un trabajo, pero este no lo hace, sino que le da acceso a otra persona para que lo lleve a cabo. Los fraudes de horas trabajadas se consideran una amenaza interna por el daño que puede derivarse del uso indebido que hace un empleado interno de su acceso autorizado a la red, los sistemas y los datos de la organización.
El equipo de riesgos internos de la aseguradora de salud había recibido denuncias de posibles fraudes de registro horario. Para investigar estos casos, crearon una política dinámica para detectar cuándo los usuarios compartían la pantalla del ordenador. Una política dinámica identifica de forma proactiva el comportamiento de riesgo y se activa cuando se genera una alerta. A diferencia de las políticas estáticas, se basa en un comportamiento de riesgo, y no en un usuario o grupo de usuarios preidentificados que llevan a cabo una acción de riesgo. Este enfoque adaptable ayuda a descubrir riesgos desconocidos, mientras proporciona a los equipos de riesgos internos alertas prácticas y protege la intimidad de los usuarios.
Con la ayuda de las políticas dinámicas, el equipo de riesgos internos detectó casos en los que los usuarios delegaban su trabajo dando a otras personas el control de sus ordenadores a través de Zoom o Teams. Se descubrieron varios incidentes, con una duración que iba desde cinco minutos a ocho horas. Con los metadatos detallados y las capturas de pantalla que obtiene Proofpoint ITM, el equipo tenía las pruebas que necesitaba para confirmar el comportamiento de riesgo. De esta forma las conclusiones estaban listas en cuestión de minutos, en lugar de días, lo que ayudó a acelerar la investigación.
En un caso similar, se descubrió que una persona recién contratada en la aseguradora de salud seguía trabajando para su empleador anterior, es decir, un ejemplo de doble empleo o pluriempleo indebido. Proofpoint ITM proporcionó la visibilidad necesaria para detectar este comportamiento de riego, así como el incumplimiento de la política de la empresa.
Proofpoint ayuda a reducir el riesgo y a aumentar la eficiencia operativa
Con Proofpoint ITM, la aseguradora de salud obtuvo varias ventajas. Estas son algunas de ellas:
- Reducción del riesgo. Con la visibilidad que ofrece Proofpoint, el equipo de riesgos internos pudo actuar en el primer punto de detección, lo que ayudó a mitigar el riesgo de manera proactiva. Además, utilizó un panel de la actividad del usuario (exploraciones), para ver los eventos y los incidentes en tiempo real, lo que facilitó investigaciones proactivas.
- Eficiencia operativa. La información de contexto y las pruebas forenses ayudaron al equipo a acelerar las investigaciones y a resolver los incidentes, realizando hasta tres al día. Las pruebas eran irrefutables, lo que les permitió tomar decisiones fundamentadas y medidas rápidas.
- Programa de gestión de amenazas internas. El equipo de riesgos internos estaba deseando explorar casos de uso más allá de las investigaciones tradicionales, como el de los empleados que dejan la empresa. Con las políticas dinámicas en ITM, pudieron abordar el incumplimiento de políticas y las violaciones de seguridad, trabajar de manera más eficiente e identificar de forma proactiva las áreas de riesgo. Como resultado, han perfeccionado su programa, ampliado el equipo y añadido valor al negocio.
Al pasar de una herramienta manual y anticuada a Proofpoint ITM, que puede identificar comportamientos de riesgo en tiempo real, el equipo de riesgos internos en la aseguradora de salud internacional obtuvo ventajas fundamentales. La siguiente tabla ofrece un resumen:
|
Necesidad |
Antes: herramienta obsoleta |
Después: Proofpoint ITM |
|
Despliegue de agente en endpoints |
Despliegue en determinados usuarios que pueden ser de riesgo |
Despliegue en los 70 000 usuarios, sin impacto en la productividad, gracias al agente ligero |
|
Supervisión |
Reactiva, basada en usuarios y grupos de usuarios concretos |
Dinámica, se activa automáticamente en función del comportamiento de riesgo |
|
Visibilidad |
Limitada |
En tiempo real |
|
Pruebas forenses |
Ninguna |
Metadatos detallados y capturas de pantalla |
Más información
- Infórmese sobre cómo Proofpoint puede ayudarle a mitigar los riesgos internos.
- Vea un webinar para obtener más información sobre la gestión de riesgos internos adaptable y las políticas dinámicas.
