Las amenazas internas son insidiosas y notoriamente difíciles de detectar y prevenir. Una de las razones es que se trata de colegas, no de "hackers con capucha". Pero las amenazas internas no siempre son malintencionadas; los intrusos accidentales son una amenaza para la seguridad de los datos tanto como los empleados malintencionados que quieren causar daño.
Kroll, asesores de riesgos, elabora informes periódicos sobre el estado de la seguridad: por ejemplo, en el informe de Kroll sobre el panorama de las amenazas del tercer trimestre de 2022 se observó que las amenazas internas alcanzaron su nivel más alto; el informe reveló que casi el 35% de todos los incidentes de acceso no autorizado tenían como núcleo amenazas internas.
Las amenazas internas son controlables, pero requieren una serie de estrategias de gestión. A continuación se presentan algunos ejemplos de amenazas internas con cinco estrategias que puede utilizar para mitigarlas.
Como ya se ha mencionado, las amenazas internas no siempre proceden de ataques de seguridad malintencionados; los accidentes y la negligencia desempeñan un papel importante en los incidentes de seguridad. Además, las personas que están detrás de las amenazas internas también varían e incluyen a empleados, proveedores, consultores y autónomos.
He aquí algunos ejemplos del tipo de amenazas internas que causan daños corporativos:
Ejemplos de amenazas internas
Empleados descontentos
A veces, las personas que abandonan una organización lo hacen de buen grado. Los empleados descontentos con una empresa pueden causar daños exponiendo datos o robando información confidencial. Según un informe reciente de Unit 42 Research, el 75% de los incidentes de seguridad de los que se ocuparon podían atribuirse a empleados descontentos. Sin embargo, no todos los informes coinciden. Muchos estudios concluyen que los intrusos accidentales o negligentes son igual de peligrosos.
Negligencias y accidentes
Ser consciente de la seguridad es algo que debe inculcarse como una segunda respuesta natural. Por ejemplo, un empleado negligente puede enviar por correo electrónico datos confidenciales a la persona equivocada o dejar documentos confidenciales en una impresora. Los dispositivos de trabajo no encriptados son otra área que puede dejar datos en riesgo. Si un empleado viaja con frecuencia, aumenta el riesgo de que se deje un teléfono o un portátil en un tren o en un aeropuerto. Si ese dispositivo cae en las manos equivocadas, todos los datos y el acceso a las aplicaciones corporativas están en peligro.
Información privilegiada maliciosa
Los empleados descontentos son una forma de empleado que aprovecha la salida de una empresa para cometer un acto dañino. Sin embargo, algunos empleados son malintencionados a propósito, buscando oportunidades para robar datos y vender secretos corporativos. Reclutar personal interno para llevar a cabo actividades maliciosas no es nada nuevo; el espionaje industrial es tan antiguo como la industria.
Sin embargo, la captación moderna de empleados por parte de los ciberdelincuentes es ahora digital. A menudo, los ciberdelincuentes intentarán ponerse en contacto con un empleado concreto, como los que tienen acceso privilegiado a la red, o utilizarán herramientas como las redes sociales o los foros en línea (incluida la dark web) para conectar con personas con información privilegiada; al posible recluta le ofrecerán grandes sumas de dinero para que les ayude a instalar ransomware o robar datos.
La solución interna
A algunas personas las prácticas de seguridad les resultan incómodas. Si es así, es probable que desobedezcan las políticas de seguridad y encuentren soluciones que les permitan seguir practicando comportamientos de seguridad deficientes. El resultado es el mismo, datos expuestos o credenciales de acceso mal utilizadas, a menudo compartidas con compañeros de trabajo por comodidad. Un estudio de 2022 demostró que el 62% de los empleados compartían contraseñas a través de mensajes de texto o correo electrónico.
Información privilegiada sobre la cadena de suministro
Las cadenas de suministro, los proveedores, los consultores y otros pueden estar fuera de nómina. Sin embargo, siguen siendo una amenaza interna, ya que a menudo tienen acceso a aplicaciones corporativas e información sensible: los ataques de spear phishing a menudo se dirigen al personal de la cadena de suministro por esta misma razón. Además, muchos ciberataques infames han sido rastreados hasta un proveedor. Un ejemplo es el ataque a la cadena de suministro de General Electric (GE); en 2020, los ciberdelincuentes obtuvieron acceso no autorizado a una cuenta de correo electrónico de una empresa asociada a GE; la cuenta expuso información sensible sobre los empleados de GE.
Cinco estrategias para mitigar las amenazas internas
Cualquiera que sea el origen de una amenaza interna, hay formas de prevenirla:
Crear una cultura en la que la seguridad sea importante
Una cultura de la seguridad es aquella en la que la seguridad se convierte en una parte profundamente arraigada de la vida laboral. Si se consigue una cultura de la seguridad, se minimizarán los riesgos asociados a los intrusos accidentales o negligentes. Una cultura de seguridad cambia los comportamientos deficientes en materia de seguridad, dotando a los empleados de los conocimientos necesarios para gestionar los riesgos de seguridad, en lugar de depender únicamente de su equipo de seguridad. Una concienciación eficaz en materia de seguridad consiste en situar a las personas en el centro del mantenimiento de un entorno seguro; en lugar de repartir culpas, una cultura de seguridad eficaz capacitará y habilitará a los empleados e incluso puede ayudarles a identificar y tratar a los empleados malintencionados.
Generar confianza entre los empleados y los no empleados.
Cambiar el comportamiento en materia de seguridad de las personas que no se preocupan por la seguridad porque consideran que interfiere con su trabajo es todo un reto. Para ayudar a mitigar los riesgos de las soluciones de seguridad, una organización debe trabajar para construir una relación de trabajo de confianza con los empleados, proveedores y otros. Por ejemplo, la formación en materia de concienciación sobre seguridad debe diseñarse para crear relaciones que encajen con el alumno, utilizando contenidos centrados en funciones y riesgos específicos. Asimismo, proporcionar herramientas de seguridad bien diseñadas, basadas en una experiencia de usuario excelente y sencillas de utilizar, contribuirá a que los empleados y otras personas dejen de buscar soluciones alternativas.
Realizar periódicamente cursos de sensibilización en materia de seguridad
La gente tiende a olvidar la formación a menos que se realice con regularidad. Un estudio de USENIX sobre el impacto de la formación periódica en la eficacia de la formación de concienciación sobre seguridad descubrió que la formación inicial de los empleados duraba unos cuatro meses; después de seis meses, los empleados no podían detectar los correos electrónicos de phishing. La formación en seguridad de la información puede ayudar a menudo a detectar amenazas internas antes de que causen daños reales.
Disponer de un proceso sólido para dar de baja a los empleados
Los empleados malintencionados, incluidos los que abandonan la organización, son difíciles de manejar. Una de las formas más eficaces de incluir a estos empleados en sus estrategias para mitigar las amenazas internas es contar con procesos sólidos que garanticen que los empleados que se marchan tengan acceso a sus cuentas rápidamente eliminado.
Herramientas para mitigar los efectos de los empleados malintencionados
Los empleados malintencionados cubrirán activamente sus huellas, lo que puede resultar difícil de detectar. Utilice herramientas y procesos que apliquen un enfoque de "confianza cero" a la seguridad; estos procesos utilizarán el principio del menor privilegio para controlar el acceso a datos sensibles y a la red corporativa. Herramientas de seguridad como las soluciones de Prevención de Pérdida de Datos (DLP) pueden ayudar a mitigar las amenazas internas maliciosas y accidentales.
Recuerde su cadena de suministro
Acuérdese de sus proveedores, contratistas y otras terceras partes a la hora de llevar a cabo la formación de concienciación sobre seguridad e implantar herramientas de seguridad de confianza cero. Asegúrese de que su base de usuarios más amplia comprende su papel en la seguridad y la privacidad; aplique formación en seguridad basada en funciones y simulaciones de phishing que enseñen a proveedores y consultores a detectar el phishing dirigido y la ingeniería social dirigida a sus empleados.
Mitigar las amenazas internas es todo un reto, ya que las amenazas adoptan muchas formas, desde accidentales hasta malintencionadas; detectar y prevenir este espectro de ataques requiere una combinación de medidas humanas y tecnológicas. Estas soluciones incluyen formación en seguridad centrada en el ser humano, simulaciones de phishing basadas en roles, procesos de seguridad sólidos y soluciones de seguridad como la confianza cero. Sin embargo, cuando se utiliza como un enfoque de 360 grados de la amenaza interna, esta combinación de medidas centradas en el ser humano y la tecnología es una forma poderosa de mitigar estas amenazas insidiosas.