Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal, repasa en esta tribuna las amenazas de seguridad internas y cómo responder ante ellas.
La detección de amenazas internas en las organizaciones entraña especial dificultad. Si ya de por sí resulta todo un desafío mantener a raya a agentes maliciosos externos, la cosa se complica cuando se trata de desenmascarar a los que ya están dentro. Una amenaza interna puede pasar desapercibida sin levantar demasiadas sospechas, ni tener que enfrentarse a demasiadas medidas. De hecho, se tarda de media unos 77 días en encontrar y contener un incidente de estas características.
Es un fenómeno que va en aumento: solo en 2019, las amenazas internas costaron una media de 11,45 millones de dólares a las organizaciones, un 31% más respecto al año anterior. Aunque las consecuencias de estas lleguen a ser devastadoras, lo cierto es que puede no haber intención maliciosa tras ellas. Casi dos tercios de estos incidentes se deben a un comportamiento negligente de empleados, es decir, tienen su origen en un error humano. Estos individuos pueden actuar de diferentes formas y con muchas particularidades, pero carecen de una motivación para atacar, lo que hace que sea tan difícil defenderse de ellos.
Siempre es mejor prevenir una amenaza que detectarla. La clave está en permanecer proactivo: identificar los fallos de seguridad más comunes, garantizar que los empleados están correctamente formados en las mejores prácticas, así como implementar medidas de seguridad donde sea necesario para mitigar cualquier error humano.
El coste de la negligencia interna
Estas amenazas no necesitan de una intención maliciosa para causar daños considerables. Numerosas organizaciones en todo el mundo han pagado un precio muy alto como consecuencia de la negligencia de sus empleados, ya que algunas de las mayores brechas de seguridad han sido provocadas precisamente por estos.
Los ataques de phishing se mantienen como uno de los grandes problemas para los equipos de ciberseguridad en las empresas: más de la mitad de las organizaciones experimentaron un ataque de este tipo durante el año pasado. No obstante, a pesar de esta tasa tan elevada de incidencia, únicamente el 61% de la fuerza laboral global está familiarizada con este término.
Solo hace falta que un empleado haga clic en un enlace malicioso para generar enormes daños económicos y de reputación a una empresa, como así sucedió con Sony Pictures. Esta compañía gastó 35 millones de dólares en reparar sus sistemas informáticos en 2014, después de que varios de sus más altos ejecutivos fueran víctimas de un ataque de phishing. En este intento, los ciberdelincuentes consiguieron acceder a correos electrónicos confidenciales y robar más de 100 terabytes de datos.
Cuando un usuario con privilegios pierde sus credenciales, ya sea a través de ataques de phishing o cualquier otra vía, el impacto puede ser devastador, puesto que estas claves robadas pueden utilizarse para acceder a información confidencial, desviar fondos o paralizar redes, entre otras acciones, por un periodo de tiempo prolongado. No importa cuál sea la naturaleza de esa amenaza interna: cuanto más tiempo pase sin ser detectada, mayor será su valor. Por ejemplo, si se prolonga durante 30 días, el coste medio de la amenaza se sitúa en los 7,2 millones de dólares; pero, si este tiempo supera los 90 días, este precio puede ascender hasta los 13,71 millones de dólares.
El conocimiento de los empleados acerca de los riesgos en seguridad
Cualquier organización corre el riesgo de sufrir una amenaza interna, en particular las que están causadas por alguna negligencia de parte del usuario; y es que no importa la cantidad de herramientas o de controles que se pongan en marcha, nunca podrá erradicarse por completo la probabilidad de que haya un error humano. Es algo inherente a las personas. Además, cuanto más grande sea la empresa, mayor será el riesgo y, por tanto, más graves serán las consecuencias.
Las amenazas internas, y su impacto económico, aumentan en proporción al número de empleados. Las organizaciones que tienen entre 25.000 y 75.000 trabajadores gastaron de media 17,92 millones de dólares en el último año en incidentes relacionados con información privilegiada, mientras que aquellas con 500 o 1.000 empleados hicieron un desembolso de 6,92 millones de dólares.
El principal factor de riesgo con estos agentes internos negligentes es, de lejos, su falta de conocimiento y concienciación en torno a la ciberseguridad. En cualquier sector o posición dentro de una compañía, nos encontramos con usuarios que no cuentan con una formación adecuada acerca de cuáles son las amenazas más comunes y cuál es su responsabilidad a la hora de enfrentarse a estas. Esto se debe a no haber recibido una educación continua y completa al respecto. Según un estudio del sector, el 68% de directivos y altos cargos no tiene el suficiente conocimiento acerca de los ataques más persistentes y su impacto negativo en las organizaciones. Pero lo que es todavía más preocupante es que el 60% de estos usuarios no considera que los ciberataques sean una preocupación constante.
Defenderse desde dentro de la empresa
Combatir las amenazas internas es un proceso complejo, más si cabe cuando los atacantes no tienen siquiera la intención de lanzar una amenaza, ya que esta es mucho más difícil de definir y de detectar. Para defenderse, las organizaciones deben centrarse en tres aspectos clave: su tecnología, sus procesos y, lo más importante, su gente.
Todas las empresas necesitan soluciones con las que monitorizar la actividad de los usuarios, así como cualquier solicitud inusual o acceso al sistema. Para ello, es esencial usar herramientas que permitan limitar tanto el acceso a información sensible como prohibir copiar o exportar cualquier dato de este tipo. Esta tecnología debe respaldarse con procesos definidos de forma clara y fáciles de seguir en todo momento, desde la gestión de dispositivos hasta el acceso a la red.
Los empleados deben ser también conscientes de las consecuencias que tiene no cumplir con estas políticas, equipándoles con las habilidades y los conocimientos necesarios para proteger la organización. Es una carrera de fondo en la que debe darse formación de manera regular y completa, con simulaciones de ataque y talleres de seguridad presenciales. De no ser así, los empleados no entenderán correctamente el riesgo que suponen sus comportamientos negligentes para la organización, además de no ser conscientes de su papel a la hora de defenderse de posibles ataques, por lo que la organización pasará a estar definitivamente en peligro.
