Gestión de amenazas internas: ¿están seguros tus datos?

La gestión de amenazas internas es fundamental para proteger los datos confidenciales contra el robo, el uso indebido y la pérdida. El acceso privilegiado que tienen las amenazas internas les da la capacidad de causar daños significativos dentro de la empresa.

A continuación, te hablamos sobre los principios básicos y las tecnologías que utilizan las empresas para proteger los datos confidenciales contra las amenazas internas.

¿Qué son las amenazas internas?

Las amenazas internas suelen clasificarse en una de estas dos categorías principales: negligentes y maliciosas.

1. Negligentes. Representan el 62% de los ataques. Este tipo de amenaza interna se puede clasificar en dos subtipos: accidentales, cuando los empleados causan daños sin saberlo a través de errores genuinos y no maliciosas, cuando los empleados infringen intencionalmente las políticas y los procedimientos de la empresa sin intención maliciosa.

Los autores negligentes son empleados que:

• Son víctimas de ataques de phishing e ingeniería social.
• Infringen de forma no maliciosa la política de la empresa para acelerar los procesos.
• Comparten involuntariamente información confidencial con destinatarios no autorizados (correos electrónicos mal dirigidos, uso excesivo durante las conversaciones, etc.)
• Extravían los documentos impresos y los dispositivos de almacenamiento de datos que contienen información confidencial

2. Maliciosas. Son una preocupación seria. Por lo general, causan daños a la empresa a través del robo de propiedad intelectual, sabotaje, fraude y espionaje. Las motivaciones de estos empleados incluyen causar daño y buscar incentivos financieros de los competidores.

Los autores maliciosos son empleados que:

• Venden la propiedad intelectual de la empresa a los competidores para obtener ganancias monetarias.
• Roban PII de las bases de datos de la empresa y las venden a estafadores en Internet.
• Están descontentos y buscan causar daño a su empleador eliminando datos, rompiendo equipos o saboteando los procesos comerciales

Prácticas recomendadas para gestionar los riesgos de amenazas internas

Políticas y procedimientos

La gestión de amenazas internas es fundamentalmente un problema humano. El desarrollo de políticas es fundamental para establecer expectativas claras para los empleados. Los empleados que reciban una guía clara estarán mejor preparados para manejar los datos y sistemas confidenciales de manera adecuada.

Políticas y procedimientos básicos:

• Gestión de credenciales. Procedimientos y expectativas para proteger las cuentas del uso no autorizado. Los temas incluyen administración de contraseñas, políticas de bloqueo para estaciones de trabajo desatendidas y la postura de la empresa sobre el intercambio de cuentas/credenciales.
• Política de uso aceptable. Pautas de comportamiento esperado del usuario en las redes de la empresa. Estas políticas a menudo incluyen divulgaciones de la tecnología utilizada para monitorear a los empleados en busca de comportamientos de alto riesgo.
• Políticas de protección de datos. Estas políticas brindan a los empleados expectativas claras de comportamiento y procedimientos para acceder, almacenar y utilizar datos protegidos.
• Despido de empleados. Los empleados que han renunciado o han sido despedidos presentan un alto riesgo para los datos confidenciales. Se deben implementar procedimientos detallados de TI y recursos humanos para retirar los privilegios de los usuarios, monitorear de cerca las transferencias de archivos y garantizar que los empleados descontentos no se conviertan en personas internas malintencionadas.

Capacitación en gestión de amenazas internas

Los empleados que están completamente equipados para reconocer y responder a las amenazas internas son activos valiosos para proteger los datos confidenciales. La formación periódica garantiza que los empleados sean conscientes de los riesgos potenciales que pueden tener sus acciones. Esto mitiga la posibilidad de que empleados no malintencionadas pongan inadvertidamente los datos confidenciales en peligro con un comportamiento de alto riesgo pero bien intencionado.

Entrenamiento crítico sobre amenazas internas:

• Revisión regular de políticas y procedimientos organizacionales.
• Mejores prácticas contra amenazas internas comunes como el phishing y la ingeniería social.
• Conocimiento de indicadores clave de amenazas internas, como solicitudes anormales de compañeros de trabajo, uso extensivo de dispositivos de transferencia de datos (USB, impresoras, etc.) y comportamientos asociados con empleados descontentos.

Salvaguardas técnicas

Existe una mezcla diversa de tecnologías que se utilizan para detectar, prevenir y remediar los riesgos de amenazas internas. Estas tecnologías se utilizan generalmente para restringir el acceso a los datos o monitorear el comportamiento de alto riesgo.

Ejemplos de salvaguardas técnicas:

• Software de seguimiento de empleados. El análisis del comportamiento del usuario establece una línea de base de lo que se considera normal para la organización. Estas herramientas detectan comportamientos anómalos, como grandes transferencias de datos, intentos de utilizar hardware de almacenamiento de datos restringidos de la empresa y otras desviaciones de los comportamientos esperados.
• Gestión de acceso privilegiado. Las soluciones PAM (Privileged Access Management) garantizan que las cuentas con permisos elevados solo reciban el acceso mínimo necesario para realizar sus funciones laborales. Estas herramientas son cruciales para reducir el daño potencial que causarían las cuentas comprometidas.
• Prevención de pérdida de datos. Las herramientas DLP (Data Loss Prevention) mejoran la visibilidad de los datos y las capacidades de restricción. Las características comunes incluyen la identificación de datos de alto riesgo, la prevención de transferencias de datos no autorizadas y el seguimiento del ciclo de vida de los datos protegidos.

Consideraciones sobre la fuerza laboral remota

Los riesgos de amenazas internas se han visto agravados por el aumento repentino del trabajo remoto obligatorio. Las empresas que estaban mal preparadas para la transición pueden carecer de la infraestructura de protección de datos para mantener la visibilidad mientras los empleados trabajan fuera de la oficina. También es probable que el aumento del estrés de los empleados por la pandemia, los despidos y los cambios drásticos repentinos contribuyan a un aumento de los riesgos de amenazas internas.

Consejos de seguridad para la fuerza laboral remota:

• Limita el uso de dispositivos personales. El dispositivo personal de un empleado no se puede monitorear y administrar tan a fondo como los dispositivos proporcionados por la empresa. Esta falta de visibilidad reduce la capacidad de la organización para identificar y gestionar los riesgos de amenazas internas.
• Restringe el acceso a los datos en la nube. Las organizaciones que cambian del acceso a datos en las instalaciones al acceso basado en la nube deben asegurarse de que la administración de acceso privilegiado permanezca en su lugar para estas nuevas plataformas.
• Actualiza las políticas de protección de datos. Las políticas de seguridad deben estar actualizadas y ser relevantes para una fuerza laboral remota. Las organizaciones deben abordar consideraciones específicas sobre el control remoto, como prohibir el uso de redes públicas inseguras y describir los procedimientos de acceso a datos remotos.

La gestión de amenazas internas no es estrictamente un problema técnico. Una estrategia eficaz combina soluciones técnicas con salvaguardas administrativas, como la concienciación de los empleados, las mejores prácticas organizativas y la aplicación de políticas claras.

Más información

• Las 5 mayores ciberamenazas para las pymes en 2023
• Las 4 claves de ciberseguridad que toda empresa debe tener en cuenta
• 5 tips de ciberseguridad en el trabajo
• Una de cada tres pymes pierde clientes como resultado de un ciberataque
• Las 10 prioridades para las empresas en privacidad y protección de datos en 2023