¿Cómo sucede el robo de información?

¿Te has preguntado cuales son los factores débiles que puede llegar a tener tu empresa y que podrían facilitar el robo de tu información?

Iniciemos definiendo qué es la información. Podríamos decir que son los conjuntos de datos que posee una compañía y que en algunos casos pueden ser de mucho valor, requiriendo ser almacenados de manera segura para que usuarios no autorizados, no tengan acceso.

Ahora, ¿qué es el robo de la información?

El robo de la información puede iniciar con un acceso que obtiene un usuario a los datos de una compañía sin la debida autorización, y posteriormente retira, envía o copia los mismos a una ruta externa para fines personales o lucrativos.

Es importante tener en cuenta que el robo de la información, como se acaba de mencionar, no hace referencia únicamente al retiro de los datos, ya que también hace referencia al copiado o duplicidad de los mismos.

Este robo de información se puede dar de diferentes maneras, aquí mencionaremos algunas de las más comunes:

Ingeniería social: El atacante se aprovecha de la confianza del usuario, haciéndose pasar por una persona o entidad de confianza para robar credenciales o instalar programas de manera clandestina y obtener acceso a los sistemas y a la información sensible.

Vulnerabilidades en los sistemas: Son aquellas debilidades en nuestros sistemas que pueden aprovechar los ciberdelincuentes para obtener acceso a nuestros recursos informáticos, y posteriormente sacar nuestra información.

Malware: Es cualquier tipo de software malicioso que buscaacceder a nuestra información con fines como el robo, el daño de los datos o incluso la extorsión.

Podríamos mencionar muchas más maneras a través de las cuales un ciberdelincuente puede tener acceso a nuestra información, por lo que es importante mantener una buena postura de seguridad. Si bien cierto que hoy en día las organizaciones cuentan con varios sistemas de protección como firewalls, ips, antivirus y demás ante amenazas externas, también es fundamental tener en cuenta los siguientes factores:

  • Mantener monitoreado el comportamiento de estos datos (tanto internamente como externamente), y saber quien tiene acceso a la información, quien la está modificando, copiando o eliminando es esencial. Esto se puede manejar con una herramienta de FIM como DataSecurity Plus de ManageEngine, con el fin de tener visibilidad de todo lo que sucede en nuestras carpetas compartidas con información crítica y posteriormente aplicar controles de seguridad como garantizar el principio de mínimo privilegio. Adicional a esto es importante tener informes de auditoría y alertas sobre cualquier tipo modificación o consulta sobre los mismos.

  • Otra opción es mantener visibilidad de nuestras herramientas de seguridad perimetrales a través de un SIEM como Eventlog Analyzer es esencial.  De esta manera es posible generar alertas y casos de correlación que se integren con varias herramientas para obtener un panorama mucho mayor de los incidentes de seguridad de la información que están ocurriendo en nuestra infraestructura. Adicionalmente es importante aplicar WorkFlows con el fin de tomar acciones en tiempo real en el momento que suceda en incidente.

  • Tener herramientas basadas en machine learning como UEBA de Log360 ManageEngine, nos permitirán identificar y analizar esos posibles comportamientos anómalos a nivel interno.

Es importante mencionar que el robo de la información se presenta en muchos casos para solicitar recompensas a cambio de su no publicación, para venderla a otro tipo de organizaciones con fines lucrativos, para realizar suplantación de identidad, entre otras, lo cual podría causar daños de reputación y sanciones legales, entre otras consecuencias.

Con base en lo anterior podemos concluir que, así como es importante contar con herramientas perimetrales que identifican amenazas externas, también es importante complementar la seguridad con soluciones que nos ayuden a visualizar esos eventos dentro de nuestras organizaciones.

De esta manera podremos correlacionar, alertar y contener esos incidentes que pueden venir de diferentes fuentes, y posterior a esto poder identificar esos escenarios anómalos que se pueden presentar con el fin de aplicar controles de seguridad preventivos, mejorando la postura de seguridad y evitando el robo de nuestra información y la perdida de nuestro negocio.