Las amenazas internas siguen siendo una preocupación para la mayoría de las empresas. Según el informe Forrester State of Data Security de 2024, los incidentes internos representan el 22% de los casos de violaciones o filtraciones de datos. ¿Cómo evitarlo?
Hay que contemplar distintas dimensiones y tener en cuenta el impacto económico de estas amenazas. Solo en LATAM el costo por brecha de seguridad aumentó en 290.000 dólares por incidente en los últimos tres años.
¿Qué es una amenaza interna?
Básicamente cualquier acceso no autorizado desde dentro de la organización se puede considerar una amenaza interna. Es todo aquello que puede disparar un ciberataque pero no involucra a terceros, ni a personas ajenas a la empresa.
Un acceso indebido a recursos privilegiados, una contraseña que se comparte a todos los proveedores, un empleado que se lleva información de una base de datos, un colaborador que por ignorancia dejó la sesión abierta…
Todos estos son ejemplos de amenazas internas. No siempre involucran una mala intención, a veces por desconocer una política corporativa se cometen errores que derivan en vulneraciones a la seguridad de la información.
A continuación presentaremos un decálogo con las mejores prácticas para evitar las amenazas internas y reducir la superficie de ataque de la organización frente a los insiders.
1. Análisis de comportamiento
Identifique los patrones ordinarios de comportamiento de todos los usuarios y endpoints en su organización. Una línea de base es indispensable para reconocer movimientos anómalos o extraños.
-
Registre los volúmenes de transferencia de datos y los horarios en los que se presentan ‘picos’ o ‘valles’ en los informes.
-
Monitoree a los usuarios que más movimiento de datos reportan y establezca políticas claras sobre el uso de los datos.
-
Defina cuáles son los recursos privilegiados y revise que solo las personas indicadas tienen acceso a esa información.
Contenido relacionado: Amenazas internas: todo lo que debe saber para estar protegido
2. Política de mínimo privilegio
Aún hoy en día hay compañías que tienen toda su información disponible para todos los stakeholders sin ninguna clase de restricción. Esta es una mala práctica que facilita la aparición de vulnerabilidades.
-
Identifique los roles que pueden tener accesos privilegiados.
-
Limpie constantemente el listado: usuarios que ya no trabajan en la compañía no deberían tener usuarios habilitados, ni contraseñas, ni accesos.
-
Brinde acceso ‘Just in time’ para los proveedores o aliados. Si un tercero necesita un acceso de 30 minutos a una base de datos, permita solo el tiempo necesario y si es posible, audite la actividad.
3. Realice evaluaciones de riesgo periódicamente
Identificar los riesgos no es suficiente. Es indispensable evaluarlos y brindarles una calificación o una categorización para determinar cuándo un riesgo está en su fase inicial, cuándo es crítico o cuándo es inminente.
-
Evalúe con su equipo los riesgos identificados y califíquelos según su impacto en el negocio y los recursos necesarios para su control.
-
Extienda esta práctica a sus proveedores y aliados; muchas empresas reciben ataques por vulnerabilidades en su cadena de suministro.
4. Implemente políticas estrictas
Establecer políticas es un elemento indispensable para la seguridad de la información: pero se debe contemplar como un aspecto de la cultura corporativa. Los usuarios no seguirán las normas si no se les explican las consecuencias. Nadie sigue órdenes por seguir órdenes.
-
Fije políticas de métodos adicionales de autenticación o cambio de contraseñas de manera periódica.
-
Refuerce con recordatorios automáticos y mensajes propositivos que motiven al usuario a realizar los ajustes necesarios.
5. Eduque a sus usuarios
Muchas amenazas provienen de insiders (empleados) que actúan por desconocimiento o por negligencia. Los delincuentes se aprovechan del poco conocimiento de los trabajadores y les dirigen ataques de phishing, ransomware y spyware entre otros.
-
Capacite a la fuerza laboral para que sea capaz de identificar un falso correo electrónico del gerente, de una marca aliada o incluso de plataformas de redes sociales o entidades bancarias.
-
Entregue información clara sobre las políticas empresariales (políticas de contraseñas, uso de dispositivos, etc.) y de ejemplos sobre las consecuencias de no acatar estas instrucciones.
6. Desactive las cuentas huérfanas
Los atacantes pueden usar cuentas de correo, usuarios o contraseñas de exempleados o personas vinculadas con la organización. Depurar los listados con frecuencia es una manera de reducir la superficie de ataque.
-
Defina la periodicidad para limpiar las bases de datos y elimine las cuentas de exempleados o personas anteriormente vinculadas.
-
Haga lo mismo con sus principales proveedores: solicite un informe sobre los nuevos usuarios y los que se deben eliminar.
7. Revise los códigos
Es fundamental revisar los códigos de las aplicaciones a implementar: puede haber bombas lógicas (códigos maliciosos ocultos que se disparan con una condición específica: una fecha, una hora, el inicio de sesión en una aplicación).
-
Inspeccione cada aplicación a utilizar en su compañía. Más aún si se trata de apps desarrolladas en herramientas de low code o no code; la falta de experticia puede entregar herramientas con muchas vulnerabilidades fácilmente identificables.
-
Si es posible instale una herramienta de gestión de endpoints que inhabilite el software no autorizado e impida su instalación.
8. Gestión proactiva
Es mucho mejor evitar una amenaza que intentar resolverla después de que se materialice. Es mucho más costosa una gestión reactiva que responde y remedia después del ataque, que una gestión proactiva que cuida de las mejores prácticas.
-
No es suficiente con la formación de los empleados. Apóyese en políticas de Zero Trust y use soluciones de DLP o de control para inhabilitar el tránsito de datos por puertos usb, periféricos o redes.
-
Las soluciones de seguridad de navegadores también pueden resultar útiles para evitar posibles amenazas. El navegador es un endpoint adicional y debe ser tratado como tal.
Contenido relacionado: Detección de amenazas internas: una guía breve
9. Delimite el acceso remoto
En tiempos de trabajo remoto, híbrido o anywhere, es indispensable establecer políticas claras sobre el acceso remoto: quienes se conectan, cómo lo hacen, con qué dispositivos y bajo qué condiciones.
-
Solicite el uso de conexiones VPN cuando sea necesario.
-
Establezca parámetros para el uso de dispositivos corporate owned (propiedad de la empresa) o BYOD (Bring Your Own Device, propiedad del empleado). Una solución de gestión de dispositivos móviles puede ser de gran utilidad.
10. Audite la red
Gestionar los logs y registros de todo lo que sucede en la red es crucial. Hay mucha información que espera a ser encontrada a través de informes o reportes dinámicos. De esta manera se complementa el primer punto relacionado con el comportamiento de los usuarios y entidades.
-
Obtenga informes sobre el uso del almacenamiento, el flujo de los datos y los usuarios. Puede hallar insights importantes que se escapan a simple vista.
-
Una solución SIEM con funciones UEBA (User and Entity Behavior Analytics – Análisis de comportamiento de usuarios y entidades) puede ayudarle con dashboards completos e incluso con correlación de eventos.
Un aliado para la seguridad
La oferta de seguridad de la información de ManageEngine es robusta y se puede articular con diversas herramientas para fortalecer la protección de los datos. Conozca más sobre nuestra oferta en este enlace.
DataSecurity Plus es una de las soluciones que puede ayudarle a cumplir con algunas de las mejores prácticas expuestas en este decálogo. Conozca más aquí.
