Las amenazas internas no son nada nuevo. Por desgracia, el panorama de la ciberseguridad está plagado de casos de empresas víctimas de ataques que han surgido dentro de la propia organización. En los últimos años los incidentes internos han aumentado rápidamente, casi un 50% más entre 2018 y 2020. Y las consecuencias de ello pueden ser muy graves, ya que se estima que estos ataques cuestan a las empresas alrededor de 11,45 millones de dólares al año.

Pese a que en las organizaciones haya más consciencia acerca de la amenaza que suponen los agentes internos, la manera que tenemos actualmente de trabajar hace que la prevención sea cada vez más difícil. Debido a que muchos de nosotros hemos adoptado un modelo de trabajo híbrido o totalmente en remoto, es poco probable que volvamos a las normas que teníamos antes cuando estábamos en el entorno de la oficina.

Como resultado, vemos una mayor dependencia en cloud, cambios en los horarios de trabajo y comportamientos de empleados, además de una falta de visibilidad que dificultan mucho más la defensa frente a amenazas internas, ya sean estas maliciosas o negligentes. Tanto es así que Forrester estima que en 2021 un tercio de todos los ciberataques será de carácter interno, frente al porcentaje del 25% que tenemos en la actualidad.

Ante esta amenaza creciente, la necesidad de contar con soluciones integrales de gestión de amenazas internas es indiscutible. Las organizaciones deben poner en marcha ahora más que nunca programas sólidos de gestión de amenazas internas que combinen herramientas, tecnología, procesos y, lo más importante, que tenga en cuenta a las personas.

Las amenazas internas, a detalle

Las ciberdefensas tradicionales son perímetros construidos para proteger desde fuera hacia dentro. Las amenazas internas requieren no obstante una defensa capaz de proteger sus datos, redes y sistemas en un entorno sin perímetro. Esto requiere un enfoque diferente con herramientas, estrategias y una formación de concienciación a medida, algo que un número cada vez más preocupante de empresas sigue pasando por alto.

Para empeorar las cosas, las amenazas internas suelen darse de diversas formas, desde aquellas en las que se busca intencionadamente hacer daño a la organización hasta las que lo hacen por accidente. Luego hay otras que no son realmente internas. Las amenazas negligentes más comunes representan casi dos tercios del total de incidentes. Ocurren cuando un usuario permite involuntariamente que un ciberdelincuente acceda a sus datos y sistemas. Esto puede ocurrir al hacer clic en un enlace malicioso, al hacer un mal uso de su contraseña o al exponer accidentalmente datos sensibles.

Aunque menos comunes, las amenazas maliciosas son incluso más dañinas: cuestan una media de 755.760 dólares por incidente en comparación con los 307.111 dólares en caso de negligencia. Pueden ser impulsadas por empleados que buscan venganza, ganancias financieras o por ciberdelincuentes que han comprometido cuentas legítimas para entrar en sus redes.

El tercer tipo de amenazas internas se produce cuando las cuentas han sido comprometidas, con un coste medio de 871.686 dólares por incidente. Se trata de un impostor o un ladrón de credenciales que se centra en la información de inicio de sesión del usuario para obtener acceso no autorizado a las aplicaciones y los sistemas.

En cualquier caso, las amenazas internas resultan bastante difíciles de detectar y defender. Los usuarios internos negligentes y que no tienen motivos para atacar mostrarán pocas señales de advertencia, mientras que los atacantes malintencionados harán todo lo posible para no dejar rastro y evitar levantar sospechas. Si a esto le añadimos una manera de trabajar relativamente nueva, una plantilla desigual y muchos más puntos de ataque, el reto al que se enfrentan los equipos de ciberseguridad queda más que claro.

El factor híbrido

Los entornos híbridos no solo aumentan el riesgo de que se produzcan amenazas internas, sino que, sin un programa integral de gestión de amenazas internas, también hacen que sea mucho más difícil detectarlas cuando se producen. A pesar de que muchas organizaciones ya están acostumbradas a trabajar en entornos híbridos, todavía es algo relativamente reciente. Los equipos de ciberseguridad siguen aprendiendo acerca de la telemetría de sus registros, con usuarios que acceden a las redes desde diversos lugares o dispositivos y en momentos que antes podían considerarse inusuales.

Con un modelo de trabajo tan flexible tampoco es fácil de detectar ciertas tendencias. Los comportamientos que tradicionalmente se consideraban sospechosos pueden dejar de ser motivo de alarma. La mayoría de las organizaciones también tienen ahora muchos más puntos de acceso, lo que aumenta enormemente la superficie potencial de ataque.

Estos entornos flexibles e híbridos tienen asimismo un impacto social y psicológico. Fuera de la oficina, los usuarios pueden ser más propensos a desviarse de las mejores prácticas ya sea con sus dispositivos personales por comodidad o usando los del trabajo para asuntos personales, anotando contraseñas o accediendo de forma inadecuada a sistemas y datos.

Lo más preocupante de todo es que muchos usuarios ni siquiera son conscientes de las prácticas de seguridad que deben seguir cuando trabajan desde casa. En 2020 solo el 36% de las empresas había formado a sus empleados en hábitos seguros de trabajo a distancia, a pesar de que la inmensa mayoría requirió o solicitó a gran parte de su fuerza laboral que se acogiese al teletrabajo.

Trabajar fuera de la oficina puede llevar a distracciones propias de las tareas cotidianas o de las comodidades del hogar. Todo ello hace que los usuarios cometan errores simples pero costosos, mientras que aquellos que tienen una mala intención sientan que pueden operar más libremente fuera del ambiente corporativo.

Poner en marcha un programa de gestión de amenazas internas

Detectar y disuadir eficazmente las amenazas internas en el entorno laboral actual puede ser difícil, pero no imposible. La solución pasa por un programa integral de gestión de amenazas internas que combine controles, procesos y personas. Esto comienza por implementar prácticas de supervisión de amenazas internas que vigile e investigue las actividades sospechosas.

Un programa integral de gestión de amenazas centrado en las personas requiere recursos específicos como herramientas de supervisión capaces de detectar la exfiltración de datos, el abuso de privilegios, el uso indebido de aplicaciones, el acceso no autorizado y los comportamientos arriesgados y anómalos.

Hay que desarrollar y poner en marcha políticas claras de mejores prácticas para el trabajo híbrido que cubran el acceso al sistema y a la red, los privilegios de los usuarios, el buen uso de contraseñas, las aplicaciones no autorizadas, el BYOD, la protección de datos, etc.

Por último, la piedra angular de cualquier programa sólido de gestión de amenazas internas es el conocimiento. El equipo encargado del mismo debe conocer a fondo la actividad de los datos, principalmente, quién accede a qué datos, cuándo, por qué y a través de qué plataforma. Esta inteligencia puede ayudar a conocer los motivos y la intención que son claves para detectar señales de alerta temprana de las amenazas internas.

Los usuarios también deben estar equipados con los conocimientos necesarios para protegerse a sí mismos y a su organización. Esto únicamente es posible a través de una formación continua y adaptable sobre seguridad que debe ir más allá de evaluaciones y recomendaciones básicas de seguridad para centrarse en la importancia del comportamiento. Ya sea en casa, en la oficina o en cualquier otro sitio, los empleados necesitan saber lo que se espera de ellos y el papel que desempeñan para mantener la seguridad de su empresa.

About Author

Fernando Anaya

Fernando Anaya es el responsable de desarrollo de negocio de Proofpoint para España y Portugal, donde la organización cuenta con una base sólida de clientes del entorno corporativo con los que lleva colaborando durante varios años. La presencia de Proofpoint en esta región ha alcanzado cierto grado de madurez y se encuentra actualmente en una fase de plena expansión. Desde su posición, Fernando Anaya será el encargado de dirigir la estrategia de crecimiento de Proofpoint en ambos países, así como lograr su consolidación definitiva dentro de estos mercados locales como una de las entidades expertas más innovadoras hoy en ciberseguridad y cumplimiento normativo del mundo. Cuenta con una experiencia profesional de 20 años en el sector, liderando proyectos relacionados con entornos de operador, infraestructura de seguridad y big data. En esta actual etapa como directivo en Proofpoint, su labor se centra en proteger los activos más valiosos en la actualidad para todo tipo de organizaciones: las personas; y, por tanto, garantizar la protección de los usuarios a la hora de utilizar el correo electrónico, la nube, los dispositivos móviles y las redes sociales en un escenario donde las reglas de la seguridad digital están en constante cambio. Previamente a su incorporación a Proofpoint, Fernando Anaya ha sido vicepresidente del área de ventas para EMEA de la compañía especializada en big data y transformación digital Logtrust (actualmente, Devo). También ha asumido diferentes responsabilidades en destacadas compañías de ciberseguridad, como Palo Alto Networks y TippingPoint, y operadores, como Verizon Business.

Deja un comentario