Las brechas de seguridad no han dejado de acaparar titulares en los últimos meses, y aunque los hackers siguen persiguiendo los datos de las tarjetas de crédito, la tendencia va hacia registros de datos más ricos y la explotación de diversos activos clave dentro de una organización. Como consecuencia, las organizaciones necesitan desarrollar nuevos esquemas para identificar y rastrear los activos de información clave.
Se calcula que 76 millones de registros de clientes y otros 8 millones de registros pertenecientes a empresas fueron robados de varios servidores internos. En Morgan Stanley, un empleado del grupo de gestión de patrimonios de la empresa fue despedido después de que se filtrara información de hasta el 10% de la clientela más rica de Morgan Stanley. Aún más delicada fue la mayor brecha en el sector sanitario hasta la fecha: en Anthem, se expusieron más de 80 millones de registros que contenían información de identificación personal (IIP), incluidos números de la seguridad social. Menos conocido, pero potencialmente más costoso en términos de daños y litigios, es el presunto robo de secretos comerciales por parte del ex CEO de Chesapeake's Energy (NYSE: CHK).
¿Qué tienen en común estas infracciones y por qué son tan graves?
Morgan Stanley y Chesapeake Energy sufrieron amenazas internas en las que empleados autorizados accedieron a los activos de la empresa y los robaron, mientras que JPMC y Anthem fueron objeto de ciberataques en los que piratas informáticos irrumpieron en bases de datos internas y robaron registros de clientes que contenían información de identificación personal. En los cuatro casos, los activos clave no estaban suficientemente protegidos dentro de la red de la empresa por negligencia, o simplemente por ignorancia de la importancia de la supervisión que requieren los activos especiales. La filtración de Anthem es especialmente preocupante porque el acceso a datos muy sensibles de identificación personal no se controló estrictamente ni se cifraron los datos mientras estaban "en reposo".
Hackers e intrusos van a por activos clave
Las tendencias son claras: hoy en día, los hackers y los infiltrados piensan en términos de "activos clave". Los números de tarjetas de crédito han sido el principal objetivo de robos y violaciones, pero la mejora de la detección del fraude por parte de las empresas de tarjetas de crédito y el paso a las tarjetas de crédito con chip han reducido su valor en el mercado negro. Mientras tanto, ha aumentado el valor de registros de datos más generales (que abarcan datos personales, información sanitaria y propiedad intelectual). Como consecuencia, los datos personales se venden por un precio 10 veces superior al de los números de tarjetas de crédito robados.
Y lo que es más importante, montañas de entradas de datos aparentemente sin valor pueden convertirse en información valiosa cuando se correlacionan con otros datos, como direcciones de domicilios y nombres de usuario de Twitter. La recopilación de grandes cantidades de datos y la aplicación de técnicas de minería y ciencia de datos ha permitido a los delincuentes extraer valor de grandes cantidades de datos no estructurados. Según DARPA, aproximadamente el 80% de los estadounidenses pueden ser identificados con tres datos.
A menudo, el valor de los activos clave no es visible a primera vista, bien porque se desconoce el contenido informativo de un recurso (por ejemplo, archivos sensibles en un servidor específico), bien porque se conoce el contenido, pero se desconoce su valor (por ejemplo, direcciones de correo electrónico, handles de Twitter y otros datos disponibles públicamente).
En ambos casos, es difícil controlar la situación: El primero suele deberse a errores humanos o deficiencias sistémicas difíciles de controlar, mientras que el segundo exigiría que los equipos de InfoSec de las empresas estimasen las capacidades, la creatividad y la motivación de los hackers. En cualquiera de los dos casos, la restricción total del acceso a los datos o el cierre de los recursos de red no es una solución práctica.
Identificar los activos clave para estar al tanto de una situación
El problema se reduce a una identificación y seguimiento fiables y oportunos de los activos clave. Si sabe dónde residen sus activos clave (por ejemplo, información de valor), podrá tomar las medidas de protección adecuadas y reaccionar con mucha más precisión ante las amenazas. Una intrusión en la red de su empresa, o el acceso no autorizado de una persona a las máquinas de la red, puede evaluarse inmediatamente e incluso evitarse si conoce la proximidad de la amenaza a sus activos clave. Entonces, ¿cómo puede identificar, rastrear y actualizar el conjunto de activos que debe rastrear en su red?
No existe una receta universal sobre cómo crear esta lista de activos clave y mantenerla actualizada. Una buena manera de empezar es utilizar medios manuales y automáticos para identificar lo que es importante en su red. La identificación manual rastreará la información en la red por el valor de su contenido, mientras que la identificación automática expondrá los activos por la frecuencia o duración de su uso (suponiendo que frecuencia o duración equivalgan a valor).
Para la identificación manual, la primera pregunta que hay que hacerse es qué información valora usted y qué información, en caso de ser robada, sería valiosa para alguien ajeno a su organización. Como ya se ha dicho, no se trata sólo de números de tarjetas de crédito y registros de clientes, sino de cifras de ventas, presentaciones de la empresa e incluso archivos de registro de actividades. Cuanto más exhaustiva sea la revisión manual, mejor será la lista final de activos clave.
Una vez generada la lista, el siguiente paso es rastrear las ubicaciones de la información identificada y situarlas en el centro de cualquier investigación sobre amenazas. ¿Reside la información únicamente en servidores específicos con acceso remoto? ¿O podría estar copiada en servidores de archivos u ordenadores portátiles menos seguros? Así se obtendrá un mapa de las ubicaciones de los posibles activos clave.
Un análisis similar, pero complementario, puede realizarse automáticamente observando la actividad de la red. Busque los datos a los que se accede con más frecuencia en la red. La frecuencia de acceso a los datos arrojará algunos bits de información bastante triviales (como páginas wiki), pero muy a menudo revela información almacenada en varias ubicaciones que se han pasado por alto en la revisión manual. Además, el rastreo y la identificación automáticos pueden hacerse constantemente, mostrando inmediatamente nuevas fuentes de información críticas en la red a medida que surgen.
Obviamente, la última pieza del rompecabezas, y la más crítica, es la supervisión eficaz de la actividad relacionada con los activos clave identificados. Es probable que cualquier actividad maliciosa o daño se produzca en torno a estos activos, lo que limita el espacio para buscar dentro y a través de ellos.
Sin embargo, para que la supervisión real sea segura y preventiva, no sólo hay que buscar patrones de acceso predefinidos (como grandes descargas), sino también anomalías. Solo las anomalías permitirán detectar futuras actividades maliciosas en torno a los activos clave.
Aunque el riesgo de la amenaza interna es evidente, sigue siendo uno de los aspectos de la ciberseguridad más infravalorados e insuficientemente abordados. Este informe abarca las medidas que toda organización puede adoptar para iniciar el camino correcto hacia la detención de las amenazas internas.
Este artículo se publicó originalmente como parte de IDG Contributor Network.