En el mundo digital actual, Las organizaciones enfrentan más riesgos. que nunca debido a los rápidos cambios tecnológicos. Sin embargo, mientras que las amenazas cibernéticas externas, como los piratas informáticos y el malware, a menudo dominan los titulares, hay un Peligro acechante que a menudo pasa desapercibido. y esta subestimado – la amenaza interna.
Definición de amenaza interna
Una amenaza interna se refiere a acciones dañinas tomadas por personas autorizadas para acceder la red de una organización, aplicaciones, o bases de datos. Las personas con acceso a los activos físicos o digitales de la organización incluyen empleados actuales y anteriores y entidades de terceros, como socios., contratistas, o trabajadores temporales. También pueden tener cuentas de servicio comprometidas. Aunque el término normalmente denota actividad ilícita o maliciosa, También puede abarcar daños involuntarios causados por los usuarios a la empresa..
Las amenazas internas se diferencian de las externas porque puede trabajar sin ser notado. Pueden integrarse en las actividades diarias de la organización., y sus acciones pueden ir desapercibido durante mucho tiempo. Además, pueden realizar sus actividades sin triggering the usual security measures, dificultando la identificación y mitigación de amenazas internas. Para abordar este desafío, las organizaciones necesitan tener una buena comprensión del comportamiento humano, sistemas de monitoreo proactivos, y una cultura de concienciación sobre la seguridad.
¿Qué tan peligroso es eso??
Los motivos financieros suelen impulsar violaciones y compromisos de datos. Aún, también pueden ocurrir por espionaje, represalias, rencores hacia los empleados, descuido al mantener la seguridad o acceder a dispositivos desbloqueados o robados. Las amenazas internas prevalecen en industrias específicas, incluyendo atención médica, finanzas, e instituciones gubernamentales, pero cualquier empresa puede ser vulnerable a riesgos de seguridad de la información.
Según un estudio reciente de Ponemon, «Costo de las amenazas internas: Informe global», Las amenazas internas se están convirtiendo en un problema creciente.:
- Encima 60% de la experiencia de las organizaciones 30 o más incidentes relacionados con información privilegiada al año.
- La negligencia fue la responsable de 62% de incidentes causados por personas internas.
- De todos los incidentes relacionados con información privilegiada, 23% fueron causados por personas internas criminales.
- El robo de credenciales de usuario fue responsable de 14% de incidentes relacionados con información privilegiada.
- Más de dos años, hubo un 47% aumento de incidentes que involucran a personas internas.
- De media, las empresas gastan $755,760 por cada incidente relacionado con información privilegiada.
Detectar amenazas internas es un desafío porque el el perpetrador tiene acceso autorizado a los sistemas y datos de la empresa. Los empleados deben acceder al correo electrónico, aplicaciones en la nube, y recursos de red para desempeñar sus funciones con eficacia. Dependiendo de sus funciones laborales, algunos miembros del personal también pueden necesitar acceso a información confidencial, como las finanzas, patentes, y detalles del cliente.
Desde los insiders tienen credenciales y acceso legítimos a los sistemas y datos de la empresa, A menudo, muchos productos de seguridad los consideran un comportamiento normal., y no se activan alertas. La dificultad de detectar la amenaza interna aumenta a medida que los ataques se vuelven más complejos.. Por ejemplo, Los actores de amenazas pueden utilizar el movimiento lateral. para ocultar sus huellas y obtener acceso a objetivos de alto valor. Alternativamente, un información privilegiada podría explotar una falla del sistema para obtener privilegios elevados.
Tipos de amenazas internas
Información privilegiada maliciosa
Un insider malintencionado es un contratista o empleado que roba información intencionalmente o interrumpe las operaciones. Este tipo de persona puede estar buscando oportunidades para vender información o avanzar en su carrera o ser un empleado descontento que busca dañar a la empresa., castigarlos o avergonzarlos. Por ejemplo, algunos ingenieros de Apple estuvieron recientemente acusado de robo de datos después de robar secretos de vehículos sin conductor y compartirlos con una empresa con sede en China.
Información privilegiada negligente
Las amenazas internas pueden provenir de empleados o individuos que comprometen la seguridad debido a negligencia, descuido, o falta de conciencia. Estos insiders accidentales pueden unknowingly cause data breaches, abrir enlaces de phishing, o ser víctima de ataques de ingeniería social. Es Es crucial reconocer estos riesgos. y tomar medidas para evitarlos.
Empleados descontentos
Tenga en cuenta que los empleados con sentimientos negativos hacia su organización o que han enfrentado problemas personales o profesionales pueden ser un peligro potencial.. Estas personas pueden causar problemas, robar datos, o tratar de dañar la reputación de la organización como un acto de venganza.
Información privilegiada comprometida
Es común para los empleados. to fall victim to malware infections en sus computadoras. A menudo a través de phishing scams o descargar malware a través de enlaces. Estos dispositivos infectados pueden convertirse en un centro para los ciberdelincuentes, dándoles acceso a los archivos escaneados, comprometer otros sistemas, y más. Un ejemplo perfecto de esto es un 2020 Violación de Twitter. Los atacantes utilizaron una lanza telefónica Ataque de phishing para acceder a las credenciales de los empleados. y su red interna. Con esta información, se dirigieron a empleados con acceso a herramientas de soporte de cuentas. Lo que llevó al hackeo exitoso de cuentas de alto perfil y a la difusión de una estafa de criptomonedas que generó más $120,000.
Cómo mitigar las amenazas internas?
Las organizaciones tienen varias medidas técnicas y no técnicas que pueden implementar para detectar y prevenir cada tipo de amenaza interna. Cada tipo de amenaza muestra síntomas diferentes, pero los equipos de seguridad pueden abordarlos de manera proactiva al comprender a los atacantes.’ motivaciones. Las organizaciones exitosas toman un enfoque integral para mitigar la amenaza interna.
Entonces, ¿cómo prepararse contra las amenazas internas??
Para prevenir amenazas internas, Las organizaciones pueden tomar varias medidas.. Estas son las áreas principales en las que concentrarse, que son cuatro en número:
1. Análisis del comportamiento del usuario
Análisis del comportamiento del usuario (UBA), también llamado Análisis de comportamiento de usuarios y entidades (UEBA), implica seguimiento, coleccionando, y analizar los datos del usuario y de la máquina para identificar amenazas organizacionales. UEBA utiliza diferentes técnicas analíticas para distinguir entre comportamientos normales y anormales. Por lo general, esto se logra recopilando datos para establecer cómo es el comportamiento normal del usuario y luego Señalar cualquier comportamiento que se desvíe de la norma.. UEBA puede detectar eficazmente comportamientos inusuales en línea, como el abuso de credenciales, patrones de acceso únicos, y grandes cargas de datos, que a menudo son signos de amenazas internas. Además, UEBA puede detectar estos comportamientos inusuales entre personas internas comprometidas mucho antes de que los delincuentes puedan acceder a sistemas críticos..
2. Capacite a sus empleados
Además, Las organizaciones deben proporcionar una formación integral. a sus empleados, permitiéndoles reconocer y abordar comportamientos potencialmente riesgosos exhibidos por sus colegas. Alentar a los empleados a informar dichas inquietudes con prontitud a Recursos Humanos. (HORA) departamento o el de Tecnologías de la Información (ÉL) El equipo de seguridad es esencial en mitigar proactivamente los riesgos planteados por personas descontentas que pueden representar amenazas internas maliciosas. Facilitar denuncias anónimas mejora aún más la confidencialidad y seguridad de dichos mecanismos de denuncia..
3. Coordinar la seguridad TI y RR.HH.
Numerosos relatos destacan casos en los que los despidos tomaron por sorpresa a los equipos de seguridad de TI, subrayando la necesidad de una colaboración efectiva entre el Director de Seguridad de la Información (CISO) y el liderazgo de RR.HH.. Estas partes interesadas clave puede preparar proactivamente la infraestructura de seguridad de TI fomentando una estrecha relación de trabajo. Una medida eficaz implica crear una lista de vigilancia de los empleados afectados e implementar sistemas de seguimiento del comportamiento para detectar posibles amenazas antes de que se materialicen..>
Además, RR.HH. puede desempeñar un papel vital al compartir información pertinente con el equipo de seguridad de TI, como cuando ciertos empleados fueron pasados por alto para ascensos o aumentos salariales. Otra estrategia valiosa implica aprovechar las aportaciones de RR.HH. para ajustar data loss prevention (DLP) tools, permitiendo la detección temprana de indicadores asociados con la autolesión y el descontento dentro de la organización. Incorporando el pensamiento activo y la colaboración de RR.HH., las organizaciones pueden establecer un sistema sólido de alerta temprana para prevenir posibles violaciones de seguridad y fomentar un entorno de trabajo más seguro.
4. Cambio frecuente de contraseña
Los cambios frecuentes de contraseña pueden ser un método para mitigar las amenazas internas, pero hay mejores soluciones que esta. Las amenazas internas se refieren a los riesgos que plantean las personas dentro de una organización que tienen acceso autorizado a información sensible o sistemas y hacer un mal uso de ese acceso con fines maliciosos. Si bien los cambios de contraseña pueden ayudar un poco, Es necesario un enfoque integral para abordar las amenazas internas de manera efectiva..
5. Control de acceso
Para mejorar la seguridad y mitigar riesgos potenciales, es imperativo establecer medidas sólidas de control de acceso. Estas medidas deben diseñarse para otorgar a los empleados acceso solo a los recursos y la información esenciales para sus roles laborales designados.. Adherirse al principio de privilegio mínimo garantiza que los individuos tengan la permisos mínimos necesarios, Minimizar la probabilidad de uso indebido o acceso no autorizado..