Ya sea intencionadamente o por uso indebido, las personas con acceso a información privilegiada fueron responsables de casi la mitad de las violaciones de datos del año pasado, según una encuesta de Forrester Research. De los encuestados, el 46% sufrió incidentes relacionados con empleados o socios comerciales externos.
Como parte del Mes Nacional de Concienciación sobre las Amenazas Internas, hemos definido las amenazas internas maliciosas frente a las negligentes, y la diferencia entre una amenaza interna y un informante. Lo que notará es que en todos los casos el factor diferenciador es la intención. Y aunque esto ayuda a delimitar los tipos de amenazas internas, sus consecuencias pueden ser devastadoras.
Accenture y el Instituto Ponemon publicaron un estudio conjunto que muestra un aumento constante en el costo de las amenazas internas, que ahora asciende a $ 1,621,075 por incidente, y algunos superan los $ 8,76 millones al año, según un estudio de 2018 del Instituto Ponemon.
Factores de riesgo por amenazas internas
¿Por qué aumentan las amenazas internas? Una de las razones es el frecuente cambio de empleo. Los días en que los empleados pasaban toda su carrera en una misma empresa han pasado a la historia. La falta de lealtad a la empresa y el aumento de las tasas de rotación incrementan el riesgo de robo de propiedad intelectual e información confidencial. Una considerable mayoría de los trabajadores de oficina se llevarán datos consigo cuando cambien de trabajo. Además de la mayor probabilidad de exfiltración de datos, el robo real de datos también se ha vuelto mucho más fácil. Gracias a COVID-19, los empleados de hoy en día trabajan a distancia desde casa y pueden acceder a los datos de la empresa estén donde estén.
El auge del trabajo a distancia debido a la COVID-19, cuyo objetivo era mantener la seguridad de los empleados y la productividad, resultó ser una amenaza para la ciberseguridad. Además de infectar la red de la empresa con malware, el uso de dispositivos personales para los negocios facilita la copia de datos de la empresa. Cuando un empleado decide renunciar, las copias de los datos de la empresa suelen permanecer en unidades y dispositivos externos, lo que significa que la pérdida de datos suele producirse de forma no intencionada y sin una exfiltración detectable.
El caso de Michael Mitchell es un ejemplo excelente. El antiguo ingeniero de DuPont guardó numerosos archivos informáticos de DuPont que contenían información sensible y sujeta a derechos de propiedad en el ordenador de su casa durante su permanencia en la empresa. Tras su cese, estos archivos permanecieron en su ordenador personal sin ser detectados. Cuando Mitchell firmó acuerdos de consultoría con un competidor coreano, le facilitó los datos, lo que supuso pérdidas millonarias para DuPont. Muchos casos, incluido el de Mitchell, podrían haberse evitado o al menos limitado con tiempos de detección y respuesta más rápidos y políticas empresariales actualizadas.
Cómo responder a las amenazas internas
El primer paso de una respuesta adecuada a una amenaza interna es concienciar sobre el problema. Aunque algunos casos se convierten en películas taquilleras de Hollywood, como Breach , basada en Robert P. Hanssen, las amenazas internas se producen en todas partes. Las responsabilidades de detección, intervención y prevención de las amenazas internas suelen estar repartidas entre los departamentos de seguridad de la información, jurídico y de recursos humanos (RRHH). Una definición clara de los elementos de acción y las responsabilidades es crucial para la implantación de un programa eficaz contra las amenazas internas.
Una pregunta importante que hay que responder es "si una persona con información privilegiada quisiera perjudicar a su empresa, ¿cuál sería su objetivo y qué daños podría causar?". Defina los activos críticos que deben protegerse, así como la tolerancia de su organización a pérdidas o daños si se filtran.
A continuación, para prevenir una amenaza de este tipo, pregúntese qué tipo de precursores de comportamiento podrían detectarse y detenerse en todos los departamentos de la empresa antes de que los activos críticos sean robados o dañados.
¿Qué comportamientos hay que tener en cuenta?
Algunos ejemplos de precursores son:
- uso indebido de los recursos informáticos, como un elevado volumen de descargas o impresiones
- Informes de RRHH sobre comportamientos hostiles en el lugar de trabajo
- información sobre investigaciones judiciales en curso contra empleados
Y lo que es más importante, asegúrese de que es capaz de conectar los puntos correlacionando precursores de diferentes departamentos para obtener información sobre las tendencias relativas a los mayores riesgos para su organización.
Vectra Cognito es una plataforma de detección y respuesta a la red que utiliza inteligencia artificial para detectar comportamientos de atacantes en toda la cadena de muerte, incluidas las fases en las que normalmente se detecta a un intruso: Command & Control, y reconocimiento. Si quiere ver cómo, programe una demostración aquí.