Nos gusta pensar que todas las amenazas vienen de fuera, que las personas que quieren hacernos daño a nosotros o a nuestras organizaciones son unos completos desconocidos. Por desgracia, no es así. Desde el FBI nos llega una estadística incómoda: según los datos sobre homicidios de 2011, el 54,3% de las víctimas de asesinato fueron asesinadas por alguien que conocían. Por si eso fuera poco, casi el 25% fueron asesinados por un miembro de su familia. Estas estadísticas demuestran que las personas conocidas pueden llegar a hacernos daño.

La historia se repite cuando hablamos de incidentes de ciberseguridad. Un estudio reciente de McKinsey revela que el 50% de las infracciones están relacionadas con amenazas internas. Un estudio de Forrester de 2021 reveló que esa cifra era del 58%. Gartner afirma que las amenazas internas son responsables de hasta el 75% de todas las brechas de datos. EL perpetrador puede ser cualquier persona, desde un empleado o contratista hasta un conserje o alguien de mantenimiento. Puede que no queramos ver a estas personas desde esa perspectiva, pero cualquiera que tenga acceso autorizado a su organización, ya sea física o virtual, puede contribuir a un incidente de seguridad. La verdad incómoda es que las amenazas internas son más graves de lo que se piensa.

Es necesario un plan

Aunque muchos incidentes de ciberseguridad pueden atribuirse a amenazas internas, esto no significa que estas amenazas tengan siempre intenciones maliciosas. Aunque ciertamente hay actos maliciosos de robo, sabotaje, fraude o espionaje que pueden ser llevados a cabo por personas de dentro de cualquier organización, los incidentes también pueden ser provocados por simple descuido. Ejemplos de ello pueden ser el borrado accidental de datos críticos, una mala configuración del servidor que lo hace vulnerable, o un simple desconocimiento de una tecnología relacionada con posibles amenazas.

Sea cual sea el motivo, toda organización necesita un programa contra las amenazas internas para evitar que se produzcan. Todo empieza por implial involucrar a los altos ejecutivos y lograr su compromiso con esta tarea. Un programa contra amenazas internas que sea prioritario y cuente con el apoyo de la alta dirección aumentará la credibilidad y sostenibilidad del programa y garantizará la asignación de atención y recursos para asegurar su finalización.

Empezar con una evaluación de riesgos

No es posible crear un plan de protección si antes no conoce los riesgos a los que se enfrenta. Una evaluación del riesgo le ayudará a identificar las áreas que pueden estar en riesgo de sufrir una amenaza interna debido a cosas como controles de acceso débiles, supervisión inadecuada o políticas de seguridad insuficientes. Al conocer sus áreas de riesgo más graves, podrá priorizar mejor la asignación de recursos y los esfuerzos en materia de seguridad. Una vez completada la evaluación de riesgos, puede empezar a definir las metas y objetivos que desea alcanzar con su programa.

Crear un equipo especializado

El típico actor de amenazas internas no es un hacker. Probablemente no trabaje ni tenga relación alguna con el departamento interno de informática. Esta es una de las razones por las que la creación y puesta en marcha de un programa de amenazas internas no sólo debe implicar al personal informático. Debe crear un equipo multifuncional compuesto por personas con diferentes perspectivas, habilidades y experiencia. El equipo debe incluir representantes de departamentos tales como informática, seguridad, asuntos jurídicos, recursos humanos y gestión de riesgos. Por ejemplo, recursos humanos debe elaborar un proceso de despido para quienes participen en conductas que supongan una amenaza interna. La integración de los miembros de los distintos equipos departamentales ayudará a comunicar y aplicar mejor el plan en toda la organización.

Seguridad física y formación

La seguridad física suele pasarse por alto en los debates sobre ciberseguridad, ya que desempeña un papel secundario a la hora de detener a los actores de amenazas externas. Puede que disponga de los mejores sistemas de acceso remoto del mundo, pero no impedirán que un intruso entre en un centro de datos e introduzca un script malicioso utilizando una memoria USB. Aquí es donde entran en juego controles de seguridad como las tarjetas de acceso, la autenticación biométrica, las tarjetas llave o las trampas para personas. Estos controles de seguridad garantizan que sólo los individuos autorizados puedan acceder a las zonas restringidas.

Recuerde que las palabras pueden tener significados diferentes. La seguridad perimetral, en lo que se refiere a los actores de amenazas externas, suele referirse a firewall y sistemas de detección de intrusos. En términos de seguridad física, la seguridad perimetral incluye elementos básicos como una valla, una barrera o una patrulla de seguridad. La videovigilancia desempeña un papel fundamental en la supervisión y grabación de todas las actividades de la organización. En algunos casos, deben implantarse sistemas de alarma para alertar al personal de seguridad o a las fuerzas del orden en caso de producirse una infracción de la seguridad física.

Las organizaciones han empezado a reconocer la importancia de la formación en materia de seguridad para sus empleados. A menudo esto incluye entrenamientos sobre los ataques de phishing y la manera de identificarlos. La formación también debería incluir el refuerzo de la concienciación sobre el entorno físico de sus empleados. Enséñeles a desafiar a alguien que no crean que deba estar en una zona restringida o a informar de actividades inusuales.

Herramientas y controles contra las amenazas internas

Aunque muchos de sus controles y herramientas de seguridad pueden utilizarse eficazmente para contrarrestar tanto las amenazas externas como las internas, algunas herramientas están más orientadas a unas u otras. Las herramientas de prevención de pérdida de datos (DLP) pueden garantizar que los usuarios internos no puedan copiar/pegar datos confidenciales o adjuntar un documento financiero a un correo electrónico. Una solución DLP no sólo evitará la filtración intencionada de datos, sino que también impedirá que se compartan datos confidenciales por desconocimiento. El análisis del comportamiento de los usuarios y las entidades (UEBA) utiliza la inteligencia artificial para supervisar el comportamiento de los usuarios y detectar anomalías. Sean cuales sean las herramientas que utilice, deben utilizarse 24/7 porque, al igual que los hackers externos, los atacantes internos suelen llevar a cabo sus acciones delictivas en momentos en los que el personal presente es mínimo.

No hay que olvidar las copias de seguridad

Por último, está la última línea de defensa: las copias de seguridad. Las copias de seguridad son la herramienta a la que se recurre cuando las medidas de protección no funcionan. Tanto si alguien ha destruido a propósito datos de su propiedad, o si alguien ha borrado accidentalmente un archivo importante, las copias de seguridad son el elemento mágico que permite recuperar rápidamente los datos borrados o dañados. Además de un sistema de copias de seguridad, es necesario contar con políticas documentadas de conservación de datos. Estas políticas variarán según la categoría de los datos.

Conclusión

Nunca hay tiempo para tomarse un respiro cuando hablamos de ciberseguridad. El momento en que lo hace es el momento en que se vuelve más vulnerable. Su empresa puede verse amenazada por extraños a los que nunca ha conocido o por personas con las que se encuentra a diario. Contar con un programa de amenazas claramente definido facilita enormemente la protección sistemática de sus activos, tanto frente al enemigo como frente al fuego amigo.