Según el informe The Cost of Insider Threats 2022 de Ponemon Institute, el 67% de las empresas a nivel mundial experimenta anualmente entre 21 y 40 incidentes relacionados con información privilegiada. El mismo documento revela que la frecuencia y el costo de los ataques con información privilegiada han aumentado considerablemente en los dos últimos años.
Las amenazas internas son uno de los ataques más difíciles de predecir y prevenir. Esto se debe a lo complejo que resulta identificar a las personas con información privilegiada. En general, una persona con información privilegiada se define como un empleado con acceso potencial a datos sensibles.
Sin embargo, una persona con información privilegiada es algo más que un simple empleado. Lo anterior nos lleva a reconsiderar. ¿Qué es una persona con información privilegiada?
¿Quién es una persona con información privilegiada?
Teniendo en cuenta varios escenarios y diversas definiciones disponibles, una entidad puede ser considerada una persona con información privilegiada si cumple las siguientes condiciones:
- Está directa o indirectamente asociada a la compañía.
- Tiene acceso regular a información sensible perteneciente a la organización o controlada por ella.
- Inadvertidamente expone información por negligencia o falta de conocimientos de seguridad.
Los interesados que actúan con mala intención para robar datos se denominan actores de amenazas internas. Para simplificar: la palabra “usuarios” en la siguiente sección se refiere no sólo a los empleados, sino a todas las partes interesadas. Esto incluye a los socios, que tienen acceso a la información de la compañía. En términos generales, las personas con información privilegiada pueden ser de dos tipos:
Personas con información privilegiada sin malas intenciones: en este grupo se encuentran todos los usuarios que, por desconocimiento o negligencia de los procedimientos de la empresa, acaban exponiendo datos sensibles. Puede tratarse de la pérdida de memorias USB con archivos oficiales o de empleados que no respetan las normas de seguridad de las contraseñas.
Actores de amenazas internas: este grupo incluye a todos los usuarios con incentivos monetarios o personales para exponer información de la compañía. Podría tratarse de exempleados descontentos, trabajadores que pueden obtener mejores oportunidades profesionales mediante el tráfico de información privilegiada, y socios que pueden conseguir mejores acuerdos basándose en información privilegiada.
¿Por qué es difícil detectar las amenazas internas?
Las personas con información privilegiada suelen ser entidades de confianza con funciones organizativas específicas. Por sí solo, esto hace que los ataques sean extremadamente difícil de predecir. Si a esto se suman los usuarios sin malas intenciones que pueden no saber que han expuesto datos de la organización, la dificultad se multiplica.
Los empleados o contratistas negligentes fueron la causa del 56% de las amenazas internas, según el informe de Ponemon “Insider Threat 2022”. Para identificar el origen de una amenaza, los especialistas en seguridad de TI tienen que monitorear las filtraciones involuntarias y descubrir los exploits intencionados de las brechas de seguridad. Como cuando se intenta encontrar el origen de un incendio, esto nos lleva a la pregunta más importante.
¿Cómo mitigar las amenazas internas?
Para combatir las difíciles amenazas internas, lo mejor es organizar los esfuerzos en función de las definiciones de una persona con información privilegiada. Con esto me refiero a crear estrategias de detección de amenazas y respuesta para tantos escenarios como sea posible.
Uno de los planteamientos es combinar la auditoría de la actividad de los usuarios; la protección de los datos en uso, tránsito y reposo; campañas de concienciación de las partes interesadas; y controles de seguridad adecuados para los dispositivos de almacenamiento de datos.
Existen varias herramientas de detección de amenazas internas para poner en marcha el monitoreo de la actividad de usuarios y datos en las empresas.
A continuación se ofrece un plan provisional para empezar a prevenir las amenazas internas. Tenga en cuenta que las ideas de herramientas y procesos para ayudar con las sugerencias aparecen en la fila siguiente. No se trata de una recomendación de un experto en seguridad, sino de enseñanzas derivadas de estudios continuos sobre las amenazas internas.
|
Control de detección y prevención |
Personas con información privilegiada sin malas intenciones |
Actores de amenazas internas |
Personas con información privilegiada en complicidad (entidades externas e internas unidas) |
Usuarios de terceros |
|
Aplique programas de concienciación y establezca controles |
Familiarice a los empleados con lo que constituye la exposición de datos sensibles.
Haga hincapié en que las conversaciones que implican información personal o de la competencia son perjudiciales. |
Monitoree los inicios de sesión inusuales y la actividad de los archivos de los usuarios con acceso a datos confidenciales. |
Examine y correlacione patrones entre eventos de archivos e inicios de sesión sospechosos. |
Lleve a cabo programas de concienciación y controles periódicos para garantizar que los proveedores cumplan los procedimientos y normas de la organización. |
|
Herramientas y procesos |
Simulaciones de phishing y malware; programas de capacitación basados en el GDPR, la HIPAA u otros mandatos; y política BYOD. |
Herramientas de monitoreo de la actividad de los usuarios en tiempo real, herramientas de modificación de archivos y control de accesos, gestión de permisos de archivos y software de gestión de identidades para inicios de sesión seguros. |
Herramienta de auditoría de Active Directory, herramienta de auditoría USB y monitoreo de acceso a archivos para detectar transferencias de archivos no autorizadas. |
Programas de capacitación para socios sobre datos sensibles, obligaciones en materia de datos y consecuencias de una violación de seguridad. Regulación estricta del acceso otorgando permisos a los datos sólo cuando sea necesario y por un periodo de tiempo limitado. |
|
Implemente medidas de seguridad sólidas para identidades y credenciales |
Garantice que todos los empleados siguen las medidas actualizadas de autenticación y autorización. |
Sea selectivo a la hora de proporcionar acceso y revise los privilegios indebidos para todos los usuarios. |
Implemente un modelo de confianza cero para tratar a todos los usuarios, ya sean empleados o socios, como entidades no confiables. |
Instituya la gestión de identidades de los socios e identifique al personal clave que necesita datos. Revise y aborde periódicamente los cambios y requisitos de los roles. |
|
Herramientas y procesos |
Correos electrónicos periódicos, alertas para nueva fuente u hora inusual de los inicios de sesión, autenticación multifactor (MFA). |
Monitoreo del entorno de permisos de archivos y revocación de permisos no requeridos por los roles de usuario. |
Normas y directrices del sector, por ejemplo, la normativa NIST 800 207 o la ZTX de Forrester. |
MFA, proceso claro para las solicitudes de recursos, proceso de selección de proveedores con mayor relevancia para los incidentes de seguridad informática anteriores o controles implementados. |
|
Refuerce los controles de seguridad de las infraestructuras |
Aumente las cerraduras físicas y la autorización en los espacios de oficina y los almacenes físicos de datos. |
Dado que no se pueden identificar las intenciones maliciosas, es mejor restringir el acceso a los servidores físicos y los almacenes de las oficinas. |
El personal que maneja dispositivos o redes no debe hacer excepciones, ni siquiera con sus compañeros más cercanos. Instale cámaras en las zonas para monitorear la entrada y la salida como uno de los controles físicos. |
Valide los requisitos de terceros y proceda con la revocación del acceso una vez satisfecha la necesidad. |
|
Herramientas y procesos |
Recompense a los empleados que respeten los protocolos de seguridad. |
Implemente controles de acceso basados en roles, revise al personal que maneja datos personales. |
Establezca responsabilidades claras para los usuarios que tienen acceso a datos sensibles. Limite las conversaciones oficiales a reuniones oficiales. |
Verifique los requisitos de terceros y establezca un proceso de evaluación y aprobación de las solicitudes de datos. |
|
Realice análisis forenses de eventos pasados |
Examine las acciones anteriores de los usuarios que condujeron al incidente manteniendo una pista de auditoría. |
Mantenga y analice incidentes anteriores para determinar un patrón recurrente. |
Investigue equipos, dispositivos de almacenamiento y otros canales oficiales utilizados por personas con información privilegiada para filtrar datos y correlacionarlos con el entorno actual de los usuarios. |
Examine las relaciones con los proveedores y los incidentes pasados que puedan estar relacionados con los proveedores u otros afiliados comerciales. |
|
Herramientas y procesos |
Utilice herramientas de monitoreo de cambios de AD que ofrezcan la ventaja de conservar pistas de auditoría. |
Inicie el análisis de memoria, el análisis forense del sistema de archivos y el análisis forense de la red para comprender cómo se lanzó un ataque sin ser detectado. |
Realice análisis de red y examine los canales de comunicación para detectar transferencias de datos no autorizadas y protegerlas suficientemente. |
Documente todas las infracciones de terceros y bloquee a los proveedores que no cumplan las normas. Utilice esta información para evaluar a los proveedores. |
En todo el mundo, el 57% de los profesionales de TI emplean el análisis del comportamiento de entidades y usuarios (UEBA) para reducir las amenazas internas. El UEBA es una versión actualizada de la tecnología de análisis del comportamiento de los usuarios (UBA) que ayuda a detectar actividades inusuales. Esta alerta inmediatamente a los administradores de TI de posibles amenazas internas. Ambas tecnologías se usan ampliamente para detectar actividades organizativas inusuales y registrar ataques en una fase temprana.
Información basada en el UBA para detectar a tiempo las amenazas internas
ManageEngine ADAudit Plus proporciona un conjunto de herramientas de auditoría de AD con informes en tiempo real y alertas de amenazas con capacidad de respuesta. Además del monitoreo esencial de los cambios en AD, usted puede implementar:
- Análisis basados en UBA para registrar al instante las actividades anómalas de los usuarios
- Monitoreo de cambios en tiempo real para detectar cambios cuestionables en AD
- Auditoría de inicio de sesión para investigar varios inicios de sesión de usuario fallidos
- Monitoreo de archivos para vigilar los cambios
- Auditoría de almacenamiento extraíble y copia de archivos para realizar un control de las transferencias de archivos no autorizadas
- Monitoreo para examinar inicios de sesión remotos inusuales desde cuentas de usuarios privilegiados
Pruebe todas estas funciones y aproveche los informes out-of-the-box para garantizar el cumplimiento del GDPR, la HIPAA y otros mandatos mediante nuestra prueba gratuita totalmente funcional.
