Enfrentar los riesgos internos supone una labor compleja pero fundamental

enero 25, 2024

Enfrentar los riesgos internos supone una labor compleja pero fundamental

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

En el complejo paisaje de la ciberseguridad, las amenazas internas representan un desafío formidable que las organizaciones modernas no pueden ignorar. Los llamados ‘insiders’, individuos con acceso privilegiado a la información y sistemas, pueden convertirse en una fuente significativa de riesgo.

Incluso en diversas investigaciones a nivel mundial, los líderes empresariales han expresado su inquietud tanto por los errores involuntarios como por los ataques internos realizados por el personal, casi al mismo nivel que por las amenazas provenientes del exterior. No obstante, surge la pregunta de cuál de estas dos representa una amenaza más significativa para una empresa.

Las amenazas provenientes del exterior tienen el potencial de ocasionar considerables perjuicios a una entidad y son ejecutadas por grupos o individuos malintencionados que, por lo general, deben idear métodos para ingresar a una red mediante diversas técnicas. Estas tácticas pueden abarcar la explotación de vulnerabilidades, la realización de ataques de phishing o ingeniería social, así como la ejecución de sobornos y chantajes.

Identificar las amenazas internas puede resultar más desafiante debido a una razón fundamental: aquellos que se encuentran en el interior ya disponen de acceso legítimo, ya sea de manera restringida o completa, a la red, sistemas y otros activos de la organización.

En esta perspectiva, el proceso de detección de amenazas internas no se limita a una evaluación binaria. Los insiders pueden actuar con intenciones maliciosas, carecer de las habilidades necesarias para desempeñar sus funciones de manera adecuada o ser objeto de coerción. Por lo tanto, resulta crucial comprender las distintas categorías de amenazas internas y los vectores que tienen una mayor relevancia para la organización.

¿Cuáles son los principales tipos de insiders?

Personas internas maliciosas: aquellos que roban o corrompen datos están motivados por un beneficio personal, un deseo de venganza o para proporcionar una ventaja a un competidor.
Personas con información privilegiada sin malas intenciones: aquellos que revelan datos sin querer, ya sea por accidente o debido a una formación insuficiente.
Insiders comprometidos: aquellos que actúan maliciosamente como resultado de chantaje o extorsión.
Personas internas negligentes: aquellos cuyos errores causan filtraciones de datos u otros incidentes.

Los empleados maliciosos son muy directos y su motivación es clara. Los otros tres tipos de insiders son algo más complejos.

Los empleados involuntarios y negligentes pueden representar una amenaza interna al no recibir la instrucción o capacitación adecuada, e incluso al no tener suficiente conocimiento sobre la tecnología que están utilizando y sobre la implementación de las protecciones necesarias.

Ejemplo de lo anterior es un incidente que ocurrió en septiembre de 2023, cuando los empleados de la división de inteligencia artificial de Microsoft expusieron por accidente 38 TB de datos confidenciales en GitHub.

Los insiders comprometidos, cuando se enfrentan a chantajes o extorsiones, pueden ceder a las amenazas por miedo a ser avergonzados, expuestos públicamente o despedidos.

Los socios externos, como contratistas y proveedores, también pueden ser una amenaza interna, ya que a menudo tienen algunos permisos de acceso a los sistemas y redes de una organización para realizar su trabajo.

En otro ejemplo de compromiso de terceros ocurrió en 2019, cuando un ex ingeniero de Amazon Web Services aprovechó una vulnerabilidad para lanzar un ataque contra Capital One (cliente de Amazon Web Services) y así poder tener acceso a millones de aplicaciones y cuentas de tarjetas de crédito de clientes.

En tales circunstancias, las organizaciones se enfrentan al desafío de tener que depositar confianza en sus empleados, sin tener certeza de si estos adoptarán intenciones maliciosas o simplemente cometerán un error honesto pero con consecuencias devastadoras.

¿Qué pueden hacer las empresas para prevenir las amenazas internas?

En principio, es fundamental garantizar que los empleados reciban una capacitación adecuada y constante, con el propósito de elevar su conciencia en temas de ciberseguridad. Es crucial que los empleados se sientan capacitados y motivados para salvaguardar activamente a su organización. Este objetivo se puede lograr mediante enfoques que incluyan comprensión, empatía y asegurando la transferencia apropiada de conocimientos.

Las empresas deben realizar un seguimiento constante y auditorías regulares en sus sistemas para garantizar que estén atentas a cualquier actividad o comportamiento sospechoso. La implementación de soluciones de control de acceso también constituye una práctica recomendada, ya que impide el acceso no autorizado a recursos específicos de la empresa y facilita la trazabilidad de quién accede a determinados recursos y en qué momento.

Al momento en que un empleado se retira de una organización, el procedimiento de desvinculación debe llevarse a cabo con precisión. Las empresas deben garantizar que el ex empleado no conserve acceso a los activos de la empresa. Además, se recomienda que las organizaciones implementen soluciones capaces de eliminar automáticamente datos confidenciales de los dispositivos de los empleados tras un despido o una renuncia.

En el intrincado mundo de la ciberseguridad, los insiders han emergido como una amenaza significativa para las organizaciones modernas. Este desafío no solo reside en la complejidad de identificar comportamientos internos maliciosos, sino también en la necesidad de equilibrar la confianza depositada en los empleados con medidas de seguridad robustas.

La concienciación y capacitación constante de los empleados son piedras angulares para fortalecer las defensas contra amenazas internas. Empoderar a los miembros del equipo para que sean defensores activos de la seguridad cibernética se vuelve esencial en un entorno empresarial cada vez más digital.

La monitorización continua y las auditorías regulares son prácticas cruciales para identificar actividades sospechosas a tiempo. La implementación de soluciones de control de acceso proporciona una línea de defensa adicional, evitando accesos no autorizados y permitiendo una trazabilidad más efectiva de las acciones de los usuarios.

La gestión cuidadosa de la desvinculación de empleados también se destaca como una medida esencial. Asegurar que los ex empleados pierdan de inmediato el acceso a los activos de la empresa y la implementación de soluciones que eliminen automáticamente datos confidenciales son pasos críticos para salvaguardar la integridad de la información.

En este panorama en constante evolución, la adaptabilidad es clave. Las organizaciones deben estar preparadas para ajustar y mejorar continuamente sus estrategias de seguridad, manteniéndose a la vanguardia de las últimas tendencias y tecnologías para garantizar una defensa eficaz contra las amenazas internas. En última instancia, la protección contra insiders requiere un enfoque integral que combine tecnología avanzada, capacitación continua y una cultura organizacional arraigada en la conciencia de la ciberseguridad.

Para más información, visite: https://www.silikn.com/