Siempre me ha gustado el jazz, un estilo musical con interacciones cuidadosamente coordinadas entre los músicos, cohesionado y eficaz. Casualmente, esto también refleja cómo deben funcionar los equipos de seguridad centrados en las personas.
El Mes para la concientización sobre las amenazas internas es el momento ideal para reflexionar sobre la siguiente cuestión: ¿trabajan sus equipos de seguridad de forma aislada o se refuerzan mutuamente?
En una formación de jazz, cada músico aporta su propio riff, su momento de lucimiento. Pero la verdadera magia ocurre cuando esos momentos se unen en armonía. En la seguridad ocurre lo mismo. Su fuerza no reside en un único equipo que intenta asumir todas las funciones, sino en la complementariedad de las perspectivas, cada una de las cuales aporta su propia contribución. Esto refuerza el conjunto y permite reconstruir la imagen completa y única de lo que sucedió. Así como no hay dos temas de jazz iguales, tampoco hay dos incidentes que se desarrollen de la misma manera. Por eso es tan importante la combinación de perspectivas.
Una seguridad unificada y centrada en las personas significa que cada equipo desempeña su papel. Gracias a una transferencia de responsabilidades entre equipos cuidadosamente comunicada, a límites claros y a procesos paralelos, los equipos se refuerzan mutuamente en lugar de duplicar esfuerzos o entorpecerse entre sí. Además, a medida que la seguridad evoluciona para responder de forma dinámica a los riesgos asociados a las interacciones humanas con los datos y los sistemas, también acerca a los equipos.
Cada equipo tiene un rol único
Debido a esta superposición, los equipos de gestión de riesgos internos y de seguridad de los datos, especialmente aquellos que están iniciando su andadura o que están revisando su programa en profundidad, suelen plantearme la misma pregunta: “¿Qué debemos considerar como puntos de contacto entre equipos y quién es responsable de qué parte de un incidente cuando hay solapamientos?”
En lo que respecta a los puntos de contacto, hay muchos equipos que pueden y deben participar: RR. HH., relaciones con los empleados, asuntos jurídicos, seguridad empresarial, por citar solo algunos. Para no dispersarme, me centraré aquí en los tres grupos principales que más suelen aparecer en las conversaciones:
- Equipos de protección de datos: se trata de los equipos encargados de responder a la pregunta ”¿qué ha pasado?”. Su función consiste en detectar y contener los movimientos de datos de riesgo, asegurándose de que el incendio inicial esté bajo control.
- Equipos de gestión de riesgos internos: estos equipos profundizan en la pregunta "por qué". Más allá de los movimientos de datos, analizan el contexto, las motivaciones y el comportamiento. Su trabajo puede extenderse a ámbitos como el fraude, la violencia en el trabajo o incluso el sabotaje, aspectos que no siempre son fáciles de detectar solo a partir de alertas técnicas.
- Equipos de operaciones de seguridad (SecOps): estos equipos deben responder a la pregunta "¿cuál es su nivel de gravedad?" y su función es validar la gravedad, contener las amenazas y poner fin a la actividad de los ciberdelincuentes antes de que se extienda.
Ahora que hemos definido los equipos y sus funciones, veamos más de cerca dos ejemplos concretos.
Caso 1: compromiso de cuenta de un ingeniero detectado por el equipo de DLP
Daniel, un ingeniero de datos cloud, activó las alertas al subir conjuntos de datos de producción a una unidad personal en la nube a las 2 de la madrugada.
- Protección de datos: el equipo detectó inmediatamente el riesgo. Los controles dinámicos bloquearon automáticamente las transferencias para evitar cualquier fuga.
- Gestión de riesgos internos: el equipo examinó el historial de comportamiento del ingeniero y el contexto de RR. HH. No se identificó ninguna intención. Además, las evaluaciones del rendimiento de Daniel eran excelentes: el departamento de RR. HH. no ha señalado ningún problema y sus registros de actividad no han mostrado ningún comportamiento de riesgo, salvo descargas anómalas.
- SecOps: el equipo confirmó que las credenciales de Daniel se habían pirateado mediante phishing y se estaban explotando activamente.
Resultado unificado: la cuenta fue neutralizada, se renovaron las credenciales de acceso y se atendió a Daniel como víctima, en lugar considerarle erróneamente como un usuario interno malicioso.
Caso 2: analista descontenta con acceso sensible; su puntuación de riesgo como usuaria interna activa medidas preventivas.
Sofía, una analista financiera con acceso a los expedientes de fusiones y adquisiciones, formaba parte de un grupo de usuarios de alto riesgo debido a su función.
- Gestión de riesgos internos: teniendo en cuenta las búsquedas de empleo realizadas en empresas de la competencia, las evaluaciones de rendimiento negativas y las comunicaciones internas marcadas por el resentimiento, la puntuación de riesgo de Sofía superó un umbral definido.
- Protección de datos: una vez alcanzado el umbral de riesgo, la función de prevención dinámica bloqueó los repetidos intentos de impresión masiva y, a continuación, realizó un análisis para confirmar que no se habían perdido más datos.
- SecOps: el equipo verificó la legitimidad de las sesiones para descartar cualquier compromiso.
Resultado unificado: teniendo en cuenta las motivaciones, los medios y los preparativos observados, los departamentos de RR. HH. y jurídico disponían de pruebas suficientes para actuar. Se restringió el acceso de Sofia y la intervención se llevó a cabo antes de que se produjera ninguna pérdida de datos.
Prácticas recomendadas para la remisión a una instancia superior
A continuación se muestran las prácticas recomendadas para la remisión de problemas a los equipos de gestión de riesgos internos, de protección de datos y SecOps.
- Investigaciones paralelas y resultados unificados
¿Por qué es importante? Cuando los equipos de gestión de riesgos internos y SecOps llevan a cabo sus investigaciones de forma aislada, a menudo llegan a conclusiones diferentes. Por ello, los departamentos de RR. HH. y jurídico pueden recibir información fragmentada, o incluso contradictoria.
En la práctica: los equipos deben investigar en paralelo, pero esperar a que se recopilen los resultados antes de dirigirse a las partes interesadas de la empresa. La información convergente reduce las interrupciones, evita correcciones posteriores y refuerza la confianza en que la seguridad es coherente. - Sin intervención prematura
¿Por qué es importante? Ponerse en contacto con un empleado demasiado pronto puede ser perjudicial, especialmente si es víctima de un compromiso. Un contacto prematuro no solo erosiona la confianza, sino que también puede alertar a un usuario interno malicioso.
En la práctica: el equipo de gestión de riesgos internos confirma el contexto, el equipo de SecOps valida el impacto técnico y solo entonces se involucra al departamento de RR. HH. para hablar con el usuario. La entrevista siempre debe planificarse y coordinarse con los departamentos de RR. HH. y jurídico. - El contexto más que la repetición
¿Por qué es importante? Una serie de alertas DLP repetidas suele indicar problemas sistémicos (formación, carga de trabajo, diseño de accesos, etc.) más que una falta intencionada. Tratarlos como "violaciones" aisladas puede llevar a que se aborden los síntomas sin resolver la raíz del problema.
En la práctica: compile las alertas activadas a lo largo del tiempo. Los modelos pueden reflejar problemas sistémicos o humanos, como el agotamiento y los plazos poco realistas. En este contexto, las intervenciones se vuelven constructivas. Estas pueden incluir asesoramiento, formación o ajustes de la carga de trabajo, en lugar de medidas punitivas cada vez más severas. - Establecimiento de controles de acceso basados en roles
¿Por qué es importante? Incluso los equipos convergentes pueden derivar hacia modelos de "visibilidad total". Sin embargo, los archivos extremadamente sensibles (por ejemplo, directivos, fusiones y adquisiciones, y conjuntos de datos regulados) requieren controles estrictos sobre quién puede ver qué. Esto reduce el sesgo, protege la confidencialidad y garantiza la defensa en litigios.
En la práctica: algunos analistas podrían ocuparse únicamente de casos de gravedad baja a media. El acceso a los expedientes más sensibles debe limitarse a los altos cargos del equipo de gestión de riesgos internos o a grupos de trabajo transversales bajo la supervisión de los departamentos de RR. HH. y jurídico. - Validación de pruebas a través de la visibilidad
¿Por qué es importante? La falta de pruebas nunca debe confundirse con la certeza de que algo no sucedió o fue accidental, a menos que todos los equipos coincidan en que se aplicaron los controles y la supervisión adecuados. Si la supervisión no detecta la acción, entonces la ausencia de datos no tiene ninguna importancia.
En la práctica: tenga cuidado al sacar conclusiones a partir de datos incompletos. Compruebe siempre si la falta de datos significa que no ha habido actividad o simplemente que no se ha instalado ningún dispositivo de supervisión. Por ejemplo, si las herramientas de prevención de la pérdida de datos (DLP) no tienen visibilidad sobre las descargas cifradas, la ausencia de alertas no es una prueba de seguridad, sino que pone de manifiesto una falta de visibilidad que debe resolverse. - Medir y ajustar continuamente
¿Por qué es importante? Los procesos de remisión a una instancia superior solo son eficaces si evolucionan junto con la organización. Los procedimientos estáticos conducen a la obsolescencia de la supervisión, a la fatiga de alertas y a la pérdida de credibilidad.
En la práctica: controle el número de alertas que se convierten en incidentes reales, la rapidez con la que se transfieren las responsabilidades entre equipos y las medidas resultantes (por ejemplo, formación, medidas disciplinarias y salida de la empresa). Utilice estos datos para perfeccionar las políticas, los flujos de trabajo y la gestión del personal.
Conclusión
Al igual que una gran actuación de jazz, la resiliencia proviene de la estructura, la habilidad y la libertad de adaptarse a la situación. La pregunta que se plantea es la siguiente: ¿trabajan sus equipos en armonía, aprovechando todo el potencial de la seguridad, o siguen actuando por su cuenta?
Para conocer las mejores prácticas en detección y prevención de amenazas internas, vea nuestro webinar sobre las amenazas internas más devastadoras.
