Toda amenaza interna tiene una causa, ya sea un error de juicio, un error cometido por precipitación, un resentimiento creciente, un cambio de ideología o el deseo de beneficio personal. Si no se actúa, estos pequeños fallos pueden convertirse en crisis empresariales y acabar copando titulares.
A menudo escucho a las organizaciones decir: "Las amenazas internas no nos afectan" o "No es un problema importante para nosotros". Ante este tipo de comentarios, pregunto: ¿algunos empleados interactúan con datos sensibles a diario? ¿Tiene empleados que cuentan con acceso con privilegios que, en determinados momentos, podrían distraerse, estar sobrecargados de trabajo, sentir resentimiento o ser blanco de ataques? ¿Es su organización capaz de detectar y prevenir comportamientos que sugieran un riesgo interno?
Al fin y al cabo, ninguna organización puede prevenir lo que no puede ver. Los riesgos internos están presentes en todos los lugares de trabajo, ya sea que se deriven de factores de estrés profesional, cambios organizativos o presiones financieras que se extienden al ámbito laboral. La resiliencia proviene de reconocer que el riesgo interno no puede eliminarse, pero puede anticiparse con la visibilidad necesaria, medidas y recuperación.
Las soluciones de gestión de amenazas internas, cumplimiento y seguridad de los datos de Proofpoint le ofrecen esta resiliencia. Nuestras soluciones centradas en las personas le permiten ver los riesgos, actuar con decisión y recuperarse rápidamente.
El Mes para la Concientización sobre las Amenazas Internas es un momento ideal para evaluar la estrategia de su organización para gestionar los riesgos internos. Este artículo de blog analiza seis escenarios que demuestran la importancia de identificar los riesgos a tiempo, intervenir de manera eficaz y prevenir las crisis antes de que acaparen titulares no deseados.
En cada escenario, hay dos resultados posibles: uno en el que el riesgo se convierte en el titular del día, y otro en el que la empresa y sus empleados salen airosos. El resultado depende sobre todo de su estado de preparación.
1. Espionaje por parte de un nuevo empleado
Desarrollo y posibles consecuencias
Sara, una nueva empleada con referencias impecables, resulta ser una infiltrada de un competidor. Rápidamente se integra en los equipos de ingeniería, se ofrece como voluntaria para proyectos sensibles e identifica fallos de seguridad.
Poco a poco, comprime y cifra archivos CAD, accede a los sistemas fuera del horario laboral y filtra lentamente propiedad intelectual valorada en miles de millones. Su plan de salida: dimitir, huir al extranjero y entregar los diseños robados. Para cuando se descubra la fuga, el daño ya estará hecho.
Resultado de la intervención
Proofpoint identifica rápidamente el comportamiento anormal de Sara. Señala sus intentos de escalada de privilegios, la ingeniería social a sus compañeros, las transferencias sospechosas de archivos cifrados y las comunicaciones con un competidor. Las alertas se correlacionan y se trasladan al equipo de gestión de riesgos internos, que inmediatamente revoca el acceso de Sara. El equipo de gestión de riesgos internos informa también los departamentos jurídico y de RR. HH. El intento de espionaje se contiene antes de que un solo archivo salga de la red.
2. Phishing y fatiga
Desarrollo y posibles consecuencias
Lisa, directora de operaciones en una institución de atención sanitaria, está desbordada de trabajo. Se encarga de la gestión de apertura de nuevas clínicas, auditorías de cumplimiento y un sinfín de aprobaciones. Unas horas antes de sus primeras vacaciones en un año, revisa rápidamente su bandeja de entrada y hace clic en un enlace de phishing disfrazado de alerta de seguridad.
Los ciberdelincuentes utilizan sus credenciales robadas para acceder a las historias de pacientes, datos de facturación y archivos de seguros, antes de venderlos en la Internet oscura (Dark Web). Cuando el departamento de TI finalmente detecta la actividad inusual, miles de archivos ya han sido comprometidos. La vulnerabilidad conlleva infracciones de la HIPAA (Portability and Accountability Act), acciones legales y daños a la reputación.
Resultado de la intervención
Proofpoint bloquea el sitio de phishing en tiempo real, lo que impide el envío de credenciales. Las alertas del centro de operaciones de seguridad (SOC) desencadenan una investigación inmediata. Se contacta directamente con Lisa para guiarla por el proceso de restablecimiento de contraseña y de reautenticación multifactor. Cuando finalmente sube al avión, su cuenta está protegida y no se ha perdido ningún dato.
3. Apuestas y chantaje
Desarrollo y posibles consecuencias
Ryan, un empleado de nivel medio se siente frustrado por varios ascensos estancados y la falta de aumentos salariales. Además, su esposa ha perdido recientemente su trabajo. Quieren comprar una casa, pero él se siente estancado económicamente. Comienza a buscar fuentes adicionales de ingresos y a jugar intensamente a juegos de hacer durante las horas de trabajo. Se endeuda rápidamente. En un sitio web de apuestas, conoce a "Shawn", quien le da consejos para aumentar sus probabilidades de ganar. Se hacen amigos. Ryan se desahoga hablando sobre el trabajo y su frustración.
Pero Shawn forma parte de un grupo de ciberdelincuentes, que decide chantajear a Ryan amenazándole con revelar que juega durante sus horas de trabajo. Shawn exige contraseñas, la instalación de malware y la filtración de archivos confidenciales. Ryan se siente acorralado y accede. Para cuando se descubre el incidente, ya se ha producido la infiltración en los sistemas y la filtración de los datos.
Resultado de la intervención
Proofpoint marca una serie de comunicaciones que indican chantaje, graves problemas financieros y técnicas de preparación para el robo de datos. Esto desencadena una intervención rápida de los equipos de gestión de riesgos internos y de RR. HH. El acceso de Ryan está restringido, los intentos de instalación de malware se bloquean y Proofpoint impide dinámicamente las transferencias de archivos. Los departamentos jurídico y de RR. HH. apoyan ofreciendo asesoramiento y formación de concienciación para romper el ciclo de chantaje. En lugar de ser víctima de un costoso incidente, la organización contiene la amenaza, protege a Ryan y refuerza una cultura de confianza y resiliencia.
4. Conspiración con fines de fraude financiero
Desarrollo y posibles consecuencias
Laura y Mark, dos empleados del servicio financiero, consideran que están mal pagados. Cuando Laura encuentra una laguna en el proceso de reembolsos, Mark la anima a aprovecharla. Las facturas falsas de proveedores, que al principio son modestas, acaban ascendiendo a cientos de miles de dólares, que se transfieren al extranjero a través de sociedades ficticias.
Resultado de la intervención
Proofpoint marca las comunicaciones de Laura y Mark que indican connivencia, junto con sus comportamientos inusuales de acceso a archivos e intentos de modificación de nombres de los archivos. Estas señales elevan sus calificaciones de riesgo y bloquean dinámicamente las acciones de Laura. Los equipos de seguridad, de gestión de riesgos internos, de fraude y de RR. HH. intervienen rápidamente y el acceso a los sistemas financieros queda restringido.
Una investigación conjunta confirma la intención maliciosa, y el departamento de RR. HH. habla directamente con Laura y Mark. El fraude se neutraliza antes de que se produzca una fuga importante. Se emprenden acciones legales con pruebas forenses. En lugar de sufrir un escándalo financiero a gran escala, la empresa contiene rápidamente la amenaza, refuerza la supervisión y demuestra su responsabilidad en toda la organización.
5. Sabotaje por parte de un empleado resentido
Desarrollo y posibles consecuencias
David, un desarrollador de dilatada experiencia, ha creado una serie de sistemas críticos, pero se siente ignorado y está resentido. Creyéndose insustituible, añade secretamente puertas traseras y altera los datos para disponer de un medio de presión.
Al ser ignorado una vez más, David pone en marcha la operación de sabotaje, provocando el colapso de los sistemas y la corrupción de los datos. Por su parte, se marcha llevándose consigo el código robado. La recuperación resulta costosa y el daño a la reputación es grave.
Resultado de la intervención
Proofpoint señala modificaciones sospechosas en los datos y la falsificación de registros, y las comunicaciones muestran el creciente resentimiento de David y la intención de causar daño. Todos estos elementos, combinados con los indicios del equipo de RR. HH., hacen que el asunto se escale a instancias superiores. El diálogo con David conduce al reconocimiento, la planificación profesional y los ajustes de funciones. Se evita así el sabotaje y los sistemas permanecen seguros.
6. Filtración de datos ideológicos
Desarrollo y posibles consecuencias
Logan, que en su día se comprometió con la misión de la empresa, experimenta un cambio en sus valores personales. Grupos online refuerzan su oposición a las posiciones públicas de la empresa.
Después de sentirse ignorado internamente, Logan considera el sabotaje como justicia. Recopila correos electrónicos de la dirección y presentaciones estratégicas con el fin de filtrarlos a medios de comunicación activistas, pensando que su divulgación “permitirá hacer justicia”.
Resultado de la intervención
Proofpoint correlaciona los patrones inusuales de acceso a datos de Logan con sus visitas a sitios activistas, lo que aumenta su puntuación de riesgo. El equipo de gestión de riesgos internos intensifica la supervisión, mientras que el de RR. HH. interviene de manera confidencial. A través del diálogo, la reasignación y el asesoramiento, Logan tiene la oportunidad de expresar sus preocupaciones sin recurrir a la exposición de datos. El equipo de gestión de riesgos internos observa patrones que indican una reducción del riesgo y retira a Logan la vigilancia intensiva. La organización evita una fuga de datos, preserva su reputación y refuerza los canales de comunicación que permiten a los empleados expresar sus preocupaciones.
Conclusión
Las amenazas internas son inevitables. La pregunta no es si aparecerán amenazas internas, sino con qué rapidez podrá detectarlas, intervenir y recuperarse.
Al combinar información sobre el comportamiento con indicios derivados de los datos, la seguridad, el cumplimiento de normativas, la concienciación y los recursos humanos, las organizaciones pueden garantizar que las amenazas internas no sean una fatalidad, sino un reto gestionable.
Es el momento perfecto para examinar más detenidamente su enfoque de gestión de los riesgos internos. ¿Está su organización realmente preparada para detectar y neutralizar las amenazas internas antes de que se transformen en un incidente de mayor envergadura?
Para acceder a una serie de recursos dedicados al desarrollo y fortalecimiento de su programa de gestión de amenazas internas, explore nuestro paquete de primeros pasos con Proofpoint Insider Threat Management.
