Los modelos de trabajo híbrido y remoto han llegado para quedarse, y hacen que sea más importante que nunca disponer de un programa robusto de gestión de amenazas internas (ITM). Sin embargo, muchas organizaciones siguen centrándose en defender frente a las amenazas externas en lugar de las que vienen de dentro, una opción que puede terminar dañando su cuenta de resultados. Según una investigación del Ponemon Institute, el coste de las amenazas internas es de 11,45 millones de dólares, lo que supone un aumento del 31 % en dos años.
Las vulnerabilidades en las empresas asociadas a empleados y organizaciones pueden provocar un verdadero desastre, pero todavía hay esperanza. Es posible minimizar estas vulnerabilidades evitando errores comunes asociados a las amenazas de una empresa de seguridad internas.
A continuación incluimos los cuatro errores de seguridad más comunes que aumentan la vulnerabilidad de los empleados (y de las empresas) a las amenazas internas, y las medidas a adoptar para reducir ese riesgo:
1. Mínima formación de los empleados sobre ciberseguridad
No todas las amenazas internas son atribuibles a empleados maliciosos; algunas son consecuencia de errores cometidos por empleados honestos. De hecho, según el Ponemon Institute, las amenazas de una empresa de seguridad internas debidas a negligencia representan el 62 % de las vulneraciones de la seguridad de los datos. Podría tratarse de acciones aparentemente inofensivas, como la descarga de documentos sensibles en una llave USB infectada o el envío de mensajes de correo electrónico con documentos cifrados para terminar un trabajo en casa.
Con el auge de las soluciones de trabajo remoto e híbrido, este tipo de comportamiento es cada vez más frecuente. Si bien las empresas recurren cada vez más a herramientas de colaboración, muchas no disponen de protocolos adaptados a la dispersión de los empleados. Este problema también se extiende a los proveedores externos que utilizan estas herramientas para sus comunicaciones diarias. Sin una formación adecuada sobre lo que constituye un comportamiento seguro y apropiado, los empleados podrían incluso no se conscientes de estar poniendo en riesgo a la seguridad de la empresa.
Prevención de amenazas internas debidas a negligencia
Para muchas empresas, la formación en ciberseguridad está lejos de ser una prioridad y no se somete a una planificación regular. Para mitigar los riesgos asociados a las amenazas internas, conviene adaptar la formación en ciberseguridad en función de los riesgos observados. Si puede integrar alertas personalizadas a sus tecnologías existentes para que los usuarios sepan cuándo se producen comportamientos negligentes, le será más fácil identificar la razón de la alerta y tomar medidas inmediatas para evitar que se vuelven a producir.
Para otros comportamientos de riesgo que se observan repetidamente en las distintas unidades de negocio, una formación reforzada (o más frecuente) en ciberseguridad y cumplimiento, que aborde las mejores prácticas sobre correo electrónico y colaboración en la nube o recordatorios de las directrices de seguridad generales, permitirá evitar las amenazas internas debidas a negligencia.
2. No tener en cuenta factores externos
La evolución de los métodos de trabajo actuales no facilita la detección de signos de alerta de actividades potencialmente maliciosas. Hace algunos años, habríamos visto muy sospechoso que un empleado accediera a los datos a horas intempestivas o desde una ubicación distinta. Hoy día es algo normal.
Además, con la dispersión de las plantillas, es más fácil ahora que las empresas pasen por alto varios factores externos que podrían inspirar a usuarios internos maliciosos, concretamente:
- Problemas financieros: un empleado que tenga problemas de dinero podría dejarse convencer para actuar de forma maliciosa.
- Venganza: un empleado descontento puede filtrar datos para vengarse de su empresa, como consecuencia de haber sufrido maltrato dentro de su equipo, por un conflicto profesional, ERTE o un despido.
- Privilegios: un empleado puede pensar que merece poseer y controlar los datos, sobre todo si ha tenido un papel importante en su obtención o creación.
- Conflicto de valores: un empleado que tenga creencias religiosas u opiniones políticas contrarias a los valores de la empresa en la que trabaja podría pensar que tiene derecho a divulgar datos.
- Reclutamiento de terceros: algunas organizaciones criminales o agencias de inteligencia extranjeras podrían reclutar usuarios internos para utilizar de manera indebida los sistemas, cometer fraude o conseguir un beneficio económico.
Detección de usuarios internos maliciosos
La dispersión de las plantillas puede hacer más complicado para los equipos de ciberseguridad detectar a los empleados descontentos, los que reciben malas evaluaciones de rendimiento o con problemas personales que pueden hacer que lleven a cabo actos maliciosos contra la empresa. Ignorar el componente humano de la pérdida de datos obliga a los equipos de seguridad a adoptar una actitud defensiva en lugar de proactiva.
Para mitigar los riesgos, asegúrese de reforzar la colaboración y mejorar la comunicación entre los responsables de los equipos (recursos humanos, jurídico, cumplimiento y privacidad) y el personal encargado de la ciberseguridad, en particular si un empleado expresa un profundo desacuerdo o no respeta las políticas de la empresa. Cuanta más formación tengan los jefes de unidades de negocio para reconocer las señales que normalmente preceden a un robo de datos y a las amenazas internas, en mejor disposición estarán de poder informar a su equipo de seguridad.
Para ello, su equipo de seguridad debería también correlacionar regularmente las actividades de los usuarios y sus interacciones con los datos. Estos datos, combinados con la información sobre los activadores potenciales, pueden ayudar a su equipo a identificar de forma proactiva los riesgos de abuso de privilegios y de pérdidas de datos.
3. Procesos incompletos o ineficaces
Como he mencionado anteriormente, el coste medio de las amenazas de una empresa de seguridad internas es de 11,45 millones de dólares. Sin embargo, esta cifra puede ser mucho mayor si la organización implicada no dispone de un proceso eficaz para neutralizar rápidamente las amenazas internas. Según el Ponemon Institute, se necesitan de media 77 días para resolver un incidente, aunque el 35 % de las empresas necesitaron más de 90 días, lo que supone un coste medio de 13,71 millones de dólares.
Sin optimizar los procesos, su equipo podría tener que dedicar horas en determinar si una amenaza potencial requiere un seguimiento. Este fue el caso del equipo de la empresa Certified Collateral Corporation (CCC), que necesitó seis o siete hora para evaluar las amenazas potenciales.
Mejore el tiempo medio de respuesta
Cuando una empresa se enfrenta a un incidente de origen interno, el tiempo medio de respuesta es un factor determinante. CCC, la empresa del ejemplo, redujo el tiempo dedicado a las investigaciones iniciales de 6/7 horas a 10/15 minutos, gracias a la solución Proofpoint Insider Threat Management (ITM).
Para ser eficaz, un programa de gestión de amenazas internas necesita la participación de todos los servicios, lo que significa que no todo el mundo tendrá competencias de TI. El uso de una plataforma que permita destacar las pruebas pertinentes en informes fáciles de comprender facilita el intercambio de información para mejorar la toma de decisiones.
4. Falta de un enfoque moderno de la prevención de la pérdida de datos
El riesgo de pérdida de datos es mayor que nunca para las organizaciones, sobre todo si tenemos en cuenta el aumento de la economía del trabajo independiente (gig economy), que ofrece un acceso a datos más sensibles a un número mayor de personas externas a la empresa.
Los programas de prevención de la pérdida de datos (DLP) que implementaban una vez las empresas para garantizar el cumplimiento generaban demasiada fricción para empleados nativos digitales. Esto hace que busquen formas de eludirlos, lo que aumenta involuntariamente la superficie de ataque y deja sin efecto el objetivo inicial de la implementación de una solución DLP.
Actualice su enfoque de la prevención de la pérdida de datos
Anime a su equipo a abandonar el enfoque tradicional de la prevención de la pérdida de datos. Después de todo, los datos no se mueven solos; los mueven las personas. Un enfoque moderno de la prevención de la pérdida de datos para endpoints necesita la implementación de una solución centrada en las personas que modifique la forma en la que las empresas detectan, previenen y responden a los incidentes de origen interno en función de una combinación del nivel de riesgo de los usuarios y del nivel de sensibilidad de los datos.
Conseguir una visibilidad del contexto en tiempo real del movimiento de los datos ayuda a los equipos de seguridad a identificar de forma más eficaz las actividades de riesgo. Permite optimizar los esfuerzos de prevención y corrección para impedir las pérdidas de datos antes de que provoquen graves prejuicios financieros o dañen la reputación de una organización.
Principales conclusiones
Una mejora de la visibilidad de las vulnerabilidades en las empresas asociadas a los empleados y a sus procesos internos le permite prevenir la pérdida de datos y reducir el riesgo de amenazas internas. Gracias a una mejor comprensión de los indicadores tempranos que pueden dar lugar a un incidente de origen interno, podrá hacer frente a las vulnerabilidades y mitigar eficazmente los riesgos asociados.
¿Reconoce el valor de un programa de gestión de amenazas internas pero se pregunta sobre su impacto en su cuenta de resultados? Descubra las ventajas asociadas a la implementación de un programa de gestión de amenazas internas.