Las amenazas internas son insidiosas y notoriamente difíciles de detectar y prevenir. Una de las razones es que se trata de colegas, no de «hackers con capucha». Pero las amenazas internas no siempre son maliciosas; los intrusos accidentales son una amenaza para la seguridad de los datos tanto como los empleados malintencionados que quieren causar daño.

Los asesores de riesgos, Kroll, elaboran informes periódicos sobre el estado de la seguridad: por ejemplo, en el informe de Kroll sobre el panorama de las amenazas del tercer trimestre de 2022 se observó que las amenazas internas alcanzaron su nivel más alto; el informe reveló que casi el 35% de todos los incidentes de acceso no autorizado tenían como núcleo amenazas internas.

Las amenazas internas son controlables, pero requieren un espectro de estrategias de gestión; he aquí algunos ejemplos de amenazas internas con cinco estrategias que puede utilizar para mitigarlas.

Como ya se ha mencionado, las amenazas internas no siempre proceden de ataques de seguridad malintencionados; los accidentes y la negligencia desempeñan un papel importante en los incidentes de seguridad. Además, las personas que están detrás de las amenazas internas también varían e incluyen a empleados, proveedores, consultores y autónomos.

He aquí algunos ejemplos del tipo de amenazas internas que causan daños corporativos:

Ejemplos de amenazas internas

Empleados descontentos

A veces, las personas que abandonan una organización lo hacen de buen grado. Los empleados descontentos con una empresa pueden causar daños exponiendo datos o robando información confidencial y de propiedad. Un informe reciente de Unit 42 research reveló que el 75% de los incidentes de seguridad de los que se ocuparon podían atribuirse a empleados descontentos. Sin embargo, no todos los informes coinciden. Muchos estudios concluyen que los infiltrados accidentales o negligentes son igual de peligrosos.

Negligencia y accidentes

Ser consciente de la seguridad es algo que debe inculcarse como una respuesta de segunda naturaleza. La alternativa es que los empleados internos se olviden de comprobar dos veces las rutinas importantes; por ejemplo, un empleado negligente podría enviar por correo electrónico datos confidenciales a la persona equivocada o dejar documentos confidenciales en una impresora. Los dispositivos de trabajo sin cifrar son otra área que puede dejar los datos en peligro. Si un empleado viaja con regularidad, el riesgo de dejar un teléfono o un ordenador portátil en un tren o en un aeropuerto aumenta. Si ese dispositivo cae en las manos equivocadas, todos los datos y el acceso a las aplicaciones corporativas están en peligro.

Iniciados maliciosos

Los empleados descontentos son una forma de empleado que aprovecha la salida de una empresa para cometer un acto dañino. Sin embargo, algunos empleados son malintencionados a propósito, buscando oportunidades para robar datos y vender secretos corporativos. Reclutar personal interno para llevar a cabo actividades maliciosas no es nada nuevo; el espionaje industrial es tan antiguo como la industria.

Sin embargo, el reclutamiento moderno de empleados por parte de los ciberdelincuentes es ahora digital. A menudo, los ciberdelincuentes intentarán ponerse en contacto con un empleado concreto, como los que tienen acceso privilegiado a la red, o utilizarán herramientas como las redes sociales o los foros en línea (incluida la web oscura) para conectar con personas con información privilegiada; al posible recluta le ofrecerán grandes sumas de dinero para que les ayude a instalar ransomware o robar datos.

La solución interna

A algunas personas las prácticas de seguridad les resultan incómodas. Si es así, es probable que burlen las políticas de seguridad y encuentren soluciones que les permitan seguir practicando comportamientos de seguridad deficientes. El resultado es el mismo, datos expuestos o credenciales de acceso mal utilizadas, a menudo compartidas con compañeros de trabajo por comodidad. Un estudio de 2022 demostró que el 62% de los empleados compartían contraseñas a través de mensajes de texto o correo electrónico.

Información privilegiada sobre la cadena de suministro

Las cadenas de suministro, los proveedores, los consultores y otros pueden estar fuera de nómina. Sin embargo, siguen siendo una amenaza interna, ya que a menudo tienen acceso a aplicaciones corporativas y a información sensible: los ataques de phishing con arpón suelen dirigirse al personal de la cadena de suministro por esta misma razón. Además, muchos ciberataques infames se han rastreado hasta un proveedor. Un ejemplo es el ataque a la cadena de suministro de General Electric (GE); en 2020, los ciberdelincuentes obtuvieron acceso no autorizado a una cuenta de correo electrónico de una empresa asociada a GE; la cuenta expuso información sensible sobre los empleados de GE.

Cinco estrategias para mitigar las amenazas internas

Sea cual sea el origen de una amenaza interna, hay formas de prevenirla:

Crear una cultura en la que la seguridad importe

Una cultura de seguridad es aquella en la que la seguridad se convierte en una parte profundamente arraigada de la vida laboral. Si se consigue una cultura de la seguridad, se minimizarán los riesgos asociados a los intrusos accidentales o negligentes. Una cultura de seguridad modifica los comportamientos deficientes en materia de seguridad, dotando a los empleados de los conocimientos necesarios para gestionar los riesgos de seguridad, en lugar de depender únicamente de su equipo de seguridad. Una concienciación eficaz en materia de seguridad consiste en situar a las personas en el centro del mantenimiento de un entorno seguro; en lugar de repartir culpas, una cultura de seguridad eficaz empoderará y capacitará a los empleados y puede incluso ayudarles a identificar y manejar a los empleados malintencionados.

Genere confianza con su base más amplia de empleados y no empleados

Cambiar el comportamiento en materia de seguridad de las personas que no se preocupan por la seguridad porque consideran que interfiere con su trabajo es todo un reto. Para ayudar a mitigar los riesgos de las soluciones de seguridad, una organización debe trabajar para crear una relación de trabajo de confianza con los empleados, los proveedores y otras personas. Por ejemplo, la formación sobre concienciación en materia de seguridad debería diseñarse para crear relaciones que encajen con el alumno, utilizando contenidos centrados en funciones y riesgos específicos. Asimismo, proporcionar herramientas de seguridad bien diseñadas, basadas en una experiencia de usuario excelente y sencillas de utilizar, ayudará a evitar que los empleados y otras personas busquen soluciones provisionales.

Realice periódicamente cursos de concienciación en materia de seguridad

La gente tiende a olvidar la formación a menos que se realice con regularidad. Un estudio de USENIX sobre el impacto de la formación regular en la eficacia de la formación sobre concienciación en materia de seguridad descubrió que la formación inicial de los empleados duraba unos cuatro meses; después de seis meses, los empleados no podían detectar los correos electrónicos de phishing. La formación en seguridad de la información puede ayudar a menudo a detectar las amenazas internas antes de que causen daños reales.

Disponer de un proceso sólido para dar de baja a los empleados

Los empleados malintencionados, incluidos los que abandonan la organización, son difíciles de manejar. Una de las formas más eficaces de incluir a estos empleados en sus estrategias para mitigar las amenazas internas es contar con procesos sólidos que garanticen que a los empleados que se marchan se les elimina rápidamente el acceso a sus cuentas.

Herramientas para la mitigación de empleados malintencionados

Los empleados malintencionados cubrirán activamente sus huellas, lo que puede resultar difícil de detectar. Utilice herramientas y procesos que apliquen un enfoque de «confianza cero» a la seguridad; estos procesos utilizarán el principio del menor privilegio para controlar el acceso a los datos sensibles y a la red corporativa. Las herramientas de seguridad como las soluciones de prevención de pérdida de datos (DLP) pueden ayudar a mitigar las amenazas internas maliciosas y accidentales.

Recuerde su cadena de suministro más amplia

Acuérdese de sus proveedores, contratistas y otras terceras partes a la hora de llevar a cabo la formación de concienciación sobre seguridad e implantar herramientas de seguridad de confianza cero. Asegúrese de que su base de usuarios más amplia comprende su papel en la seguridad y la privacidad; aplique una formación en seguridad basada en funciones y simulaciones de phishing que enseñen a los proveedores y asesores a detectar el phishing dirigido y la ingeniería social dirigida a sus empleados.

Mitigar las amenazas internas es todo un reto, ya que éstas adoptan muchas formas, desde accidentales hasta maliciosas; detectar y prevenir este espectro de ataques requiere una combinación de medidas humanas y tecnológicas. Estas soluciones incluyen una formación de concienciación sobre seguridad centrada en el ser humano, simulaciones de phishing basadas en roles, procesos de seguridad sólidos y soluciones de seguridad como la confianza cero. Sin embargo, cuando se utiliza como un enfoque de 360 grados de la amenaza interna, esta combinación de medidas centradas en el ser humano y la tecnología es una forma poderosa de mitigar estas amenazas insidiosas.

Concienciación sobre ciberseguridad para dummies