Entender las amenazas internas de una empresa
Las amenazas internas o insider threats son debilidades potenciales de una organización que pueden ser explotadas por una vulnerabilidad humana para provocar daños. Las amenazas internas son las personas. Personas que usan sus privilegios para causar un incidente de ciberseguridad, a veces de forma consciente y buscada, otras sin pretenderlo.
Las personas que están dentro de una organización conocen su funcionamiento y pueden sembrar el caos en su infraestructura. Independientemente de sus motivaciones, las consecuencias pueden ser devastadoras.
Gestionar los riesgos internos tiene que ser una parte importante de la estrategia la seguridad.
Definición de insider threat
CISA define una insider threat o amenaza interna como “la posibilidad de que una persona de dentro una organización utilice su acceso autorizado o el conocimiento sobre dicha organización para causarle daño”. Los actos que llevan a esta situación pueden ser intencionados o bien accidentales.
Para entenderlo mejor, podemos fijarnos en la triada CID (o CIA, por sus siglas en inglés), que explica cómo proteger la información teniendo en cuenta posibles manipulaciones. CID es una sigla que nace de la unión de confidencialidad, integridad y disponibilidad. En una organización, hay que proteger siempre los datos en estos tres flancos. Los datos deben estar disponibles cuando es necesario. Hay que garantizar su confidencialidad cuando el acceso no es imprescindible. Y tenemos que velar por su integridad para evitar todo tipo de manipulaciones. En una amenaza interna, los tres flancos están en riesgo.
Características comunes de las amenazas internas
Las amenazas internas empiezan por las personas que están dentro de una organización y pueden ocupar cualquier puesto dentro del organigrama. A veces tienen malas intenciones. Otras sencillamente cometen errores con un enorme coste por descuido, ignorancia o falta de precaución.
Las insider threats —sobre todo las que buscan infligir un daño a la organización— tienen algunas características en común. A menudo son instigadas por personas conflictivas, con poco interés por su trabajo y obligaciones. Son empleados que incumplen reiteradamente los procedimientos establecidos y las pautas de protección de datos. Hacen un uso indebido de las dietas para viajes, hoteles, comidas o trabajo a distancia. Otros rasgos que suelen compartir las personas que amenazan una organización son un rendimiento bajo y el interés por averiguar información sobre parcelas que no forman parte de su trabajo.
También comparten algunas características las amenazas internas sin mala fe: falta de conocimientos, formación y prácticas recomendadas. En muchas casos, detrás están personas inocentes y fáciles de manipular. En otros, empleados que intentan hacer lo mínimo o usar el sistema a su favor. Pero todas tienen algo en común: son un riesgo para la organización.
El impacto de las amenazas internas en las organizaciones
Según un estudio de Crowd Research Partners, el 90% de los profesionales de la ciberseguridad creen que sus organizaciones son vulnerables a las amenazas internas. IBM concluyó que el coste medio de un incidente causado por una amenaza interna maliciosa asciende a los 4,45 millones de dólares. Además, se necesitan de promedio 314 días para identificar y contener la filtración. Las cifras hablan por sí solas.
Tipos de amenazas internas
Perfil de los autores: intencionalidad maliciosa o falta de precaución
Cuando la amenaza es buscada, la intención es hacer daño a la organización. En estos casos, el autor puede actuar movido por un afán económico, por principios o por una venganza ante un supuesto menosprecio por parte de la empresa. También se dan situaciones en los que la persona busca realizar su trabajo con el mínimo esfuerzo posible aunque eso implique hacer caso omiso a las normas de seguridad.
Cuando la amenaza no es buscada, a menudo la persona tiene buena intención y no pretende perjudicar la organización. El incidente ocurre por falta de formación y herramientas para impedirlo.
Ejemplos de diferentes tipos de amenazas internas
Una persona contraria a la experimentación con animales encuentra trabajo en un centro donde se llevan a cabo este tipo de prácticas, va ascendiendo hasta ocupar un puesto que le da acceso a los recintos donde están los animales y los libera. Alguien que se siente injustamente tratado entra en el ordenador de su jefe o choca con su coche y lo deja inservible.
En ciberseguridad, la forma de actuar es distinta pero los efectos son los mismos. Imaginemos a un empleado enfadado que sabe que van a despedirle pronto. ¿Y si esta persona tuviera acceso a los contactos de la empresa u otros datos para un uso personal? ¿Y si pudiera aprovechar que todavía no se le ha dado de baja en el sistema para llevar a cabo su trabajo en otra compañía con el consiguiente perjuicio para la primera empresa?
Imaginemos que un empleado empieza su permiso de paternidad, pero ya con la intención de no volver a incorporarse, pero sigue teniendo acceso al panel para empleados, que le permite costear los gastos de sus viajes.
Ahora vamos a ir un paso más allá: imaginemos a una persona que quiere robar secretos de la empresa para crear sus propias herramientas o transferir dinero de la organización para saldar una deuda. El impacto será enorme o relativamente pequeño según lo que decida esa persona, pero si tiene conocimientos técnicos el efecto puede ser catastrófico.
Cuando no hay una intencionalidad, el incidente de seguridad se produce por descuidos, como copiar datos delicados y olvidarlos en una cafetería de camino a casa o dar acceso a un hacker o descargar malware sin ser consciente de ello.
Motivaciones detrás de los ataques internos
Como ocurre con la mayoría de los delitos, las motivaciones suelen ser de tipo económico, político o emocional.
Cuando la amenaza no es buscada, no existen estas motivaciones, sino que se dan comportamientos imprudentes como dejar dispositivos en vehículos u oficinas sin cerrar, sacrificar la seguridad para ganar tiempo o no conocer los conceptos de seguridad básicos. Las amenazas de este tipo pueden dividirse en dos categorías: por negligencia o por accidente. Sin embargo, los efectos pueden ser nefastos en ambos casos.
¿Cómo se produce una amenaza interna?
Técnicas y métodos utilizados para perpetrar ataques
Una amenaza interna puede filtrar datos importantes y privados, sabotear equipos e incluso robar recursos o datos de una compañía. El autor intelectual puede llevarlo a cabo directamente o dar acceso a un tercero para que ejecute la acción planificada.
Análisis de las vulnerabilidades que abren la puerta a las amenazas internas
Las puertas traseras en accesos remotos son una vulnerabilidad habitual que da pie a las amenazas internas. Otras serían los ajustes de seguridad desactivados o las herramientas de seguridad eliminadas o no utilizadas. A veces las personas detrás de estas amenazas manipulan el hardware o desactivan manualmente ajustes o configuraciones. Es importante analizar cada componente del sistema para identificar posibles vulnerabilidades.
Ejemplos de incidentes por amenazas internas
Edward Snowden es un ejemplo clásico de un incidente causado por una amenaza interna: a principios de este siglo sacó a la luz millones de archivos a los que había accedido por su trabajo en la Agencia de Seguridad Nacional estadounidense. Otro caso conocido de la misma época es el de Chelsea Manning, una ex soldado estadounidense que filtró más de 500.000 documentos a WikiLeaks. Y, más recientemente, dos ex empleados de Tesla revelaron información privada de la compañía, en concreto los números de la seguridad social de más de 75.000 trabajadores de la compañía. Todos estos casos son ejemplos de amenazas internas.
Indicadores de amenazas internas
Comportamientos relacionados con amenazas internas
Las personas con comportamientos violentos o conflictos frecuentes con otros compañeros deben ser objeto de una vigilancia continua, en caso de que se opte por mantenerlos en la empresa. También hay que prestar una atención especial a aquellos empleados muy reservados o que actúan con secretismo. Otros comportamientos que deben encender las alarmas son la falta de conocimientos sobre las prácticas recomendadas de ciberseguridad, las actuaciones negligentes, el incumplimiento reiterado de las normas, los problemas habituales con la dirección o valores opuestos a los principios de la organización.
Indicadores técnicos
Hay algunos indicadores que pueden decirnos mucho y facilitar el control de las amenazas internas.
Para empezar, hay que estar atento a patrones de tráfico inusuales, conexiones a horas extrañas o muy tarde o patrones de acceso a datos delicados fuera de lo habitual. Otro indicador técnico revelador es el uso de dispositivos personales en lugar equipos de la empresa aprobados por el equipo de TI. Las alarmas también deben encenderse al encontrar puertas traseras, ajustes de seguridad desactivados o herramientas no utilizadas. La pauta es dar siempre los mínimos privilegios posibles y poner el foco en la gestión de los accesos, ya que las solicitudes de acceso a aplicaciones o áreas que no pertenecen al ámbito de trabajo del empleado son típicas de las amenazas internas.
La supervisión de los empleados, clave para detectar amenazas internas
Es vital una buena supervisión de los empleados para identificar y detectar posibles amenazas y riesgos internos. Crear una cultura de la ciberseguridad, un lugar seguro donde comunicar comportamientos sospechosos y un sentimiento de equipo para que las personas que no comparten los mismos valores sean fáciles de identificar y puedan hablar con alguien cuando tienen un problema es una estrategia muy eficaz para repeler posibles amenazas. También es útil que las personas en puestos directivos conozcan las dinámicas psicosociales que conducen a los comportamientos maliciosos.
Cómo impedir las amenazas internas
Implementar controles de acceso y el principio del mínimo privilegio
El control de acceso consiste en gestionar y proteger el acceso a los datos y los recursos, y los responsables de TI deben ser extremadamente meticulosos en esta área. La clave está en aplicar el principio del mínimo privilegio: dar únicamente los permisos necesarios para el trabajo que debe desempeñar cada persona. Una actitud proactiva es muy importante para impedir las amenazas internas.
La importancia de dar formación a los empleados
La formación sobre ciberseguridad para los empleados a través de los canales estipulados por Recursos Humanos es otra medida proactiva muy eficaz. Tanto si la empresa decide crear sus propios materiales como si externaliza este proceso formativo, es una de las inversiones más útiles y sencillas para evitar amenazas internas.
El papel de la tecnología en la lucha contra las amenazas internas
Existen soluciones tecnológicas para combatir las insider threats. Los gestores de contraseñas son una magnífica opción para garantizar la aplicación de las prácticas de seguridad recomendadas. Hoy en día, hay herramientas y opciones para todos los bolsillos para reforzar la seguridad, recabar inteligencia, detectar y repeler amenazas o responder con rapidez.
Cómo responder a las amenazas internas
Creación de un plan de respuesta ante incidentes
Es vital para cualquier organización tener un plan de respuesta ante incidentes. Este documento debe especificar qué partes de la red se consideran una infraestructura crítica y qué puntos pueden fallar. Debe prever también la creación periódica de copias de seguridad de los datos. Y todo ello sin olvidar una supervisión periódica de todos los sistemas y dispositivos, además de la revisión del plan después de cada incidente para ver lecciones aprendidas y qué partes hay que adaptar o modificar.
Qué hacer al identificar una amenaza interna
En caso de identificar una amenaza interna, el primer paso es obtener la máxima información posible sobre el acceso y los privilegios de la persona que ha provocado el incidente, además de calibrar el impacto. Después, hay que tratar de contener la amenaza y mitigar sus efectos lo más rápido posible. Una vez que se ha cerrado el incidente, hay que analizar lo aprendido y actualizar el plan de respuesta ante incidentes para actuar antes la próxima vez.
Colaboración con los cuerpos policiales y organismos judiciales
Merece la pena consultar a los cuerpos policiales y las organizaciones de seguridad nacional qué prácticas recomiendan aplicar a los propietarios de empresas y responsables de TI al crear e implementar un plan para prevenir amenazas y riesgos internos. Cuando es necesario recurrir a las fuerzas del orden, es útil disponer de una documentación exhaustiva, que esté bien organizada y sea fácil de leer.
Estas organizaciones son la mejor fuente para responder a las dudas y estar al día de las precauciones recomendadas. Es importante que el plan de respuesta ante incidentes cumpla los requisitos establecidos para la recopilación de pruebas e incluya la documentación necesaria para acudir a los tribunales llegado el caso.
Prácticas recomendadas para la gestión de amenazas internas
Crear una cultura de la seguridad dentro de la organización
La seguridad es una cultura. Si una organización promueve las prácticas de seguridad recomendadas, crea un espacio seguro para comunicar sospechas y habla abiertamente sobre los comportamientos esperados es más fácil mantener las amenazas internas a raya.
El espíritu de equipo y la conexión con el equipo ejecutivo, sumados a una cultura que reconoce y recompensa los logros, son también muy eficaces para reducir los riesgos e identificar inmediatamente las amenazas.
Establecer unas políticas y procedimientos claros
Una vez que se ha creado el plan, es necesario fijar unas pautas para que todo el mundo reme en la misma dirección. Merece la pena también hablar con los proveedores de las herramientas o los sistemas que utiliza la organización para saber si incorporan prácticas de seguridad recomendadas y cómo aplicarlas. Por último, es importante contar con procedimientos claros para identificar las amenazas y facilitar la comunicación, supervisión y respuesta. Estas pautas deben respetarlas todas las personas de la organización, partiendo siempre del principio del mínimo privilegio.
Supervisión continua y control de las cuentas con privilegios
Es imprescindible supervisar periódicamente todas las cuentas. Existen soluciones como PAM (gestión de acceso privilegiado) y PIM (gestión de identidad privilegiada) que pueden reforzar la protección frente a las amenazas internas.
Además, si una organización utiliza un gestor de contraseñas como LastPass, podrá beneficiarse de un modelo de conocimiento cero (en el que ni tan siquiera la compañía responsable de la solución tiene acceso a las credenciales) y de la autenticación multifactor (MFA).
Las herramientas de supervisión, el cifrado de nivel militar y las auditorías o certificaciones externas pueden contribuir de forma decisiva a la seguridad de una organización. LastPass le ofrece todo esto y también funciones para actualizar contraseñas poco seguras o reutilizadas, analizar y mejorar la seguridad general, completar formularios de forma segura e incluso saber si su información ha aparecido en un robo de datos.
Con una buena planificación y las herramientas correctas, es posible gestionar y detectar las amenazas internas. Inicie su prueba de LastPass.