beebright - Fotolia
Seis tipos de amenazas internas y cómo prevenirlas
Los empleados comprometidos, negligentes y maliciosos ponen en riesgo a las empresas. Aquí hay seis problemas que plantean y las estrategias de prevención de amenazas internas para proteger su empresa.
Las amenazas internas representan un riesgo de seguridad significativo para las empresas. Según algunas cuentas, más del 60% de las organizaciones han experimentado un ataque de amenaza interna: ¿Es su empresa la próxima?
No se preocupe. Hay pasos a seguir, así como señales a tener en cuenta, para detectar y protegerse contra amenazas internas comunes sin irse a bancarrota.
En general, hay tres tipos comunes de amenazas internas: empleados comprometidos, como un empleado cuyas credenciales fueron robadas; empleados negligentes, por ejemplo, si un empleado extravía una computadora portátil o envía un correo electrónico incorrectamente; y empleados maliciosos, incluidos los empleados descontentos, que cometen actos como robo, fraude, sabotaje, espionaje y chantaje.
Estas amenazas pueden desglosarse aún más por la forma en que se filtran los datos sensibles. Aquí hay seis amenazas internas comunes que representan un peligro para los datos confidenciales, junto con estrategias de mitigación para cada una.
1. Explotación de información a través de software de acceso remoto
Problema: Una cantidad considerable de abuso interno se realiza fuera del sitio a través de herramientas de acceso remoto. Es menos probable que los usuarios sean atrapados robando datos confidenciales cuando pueden hacerlo fuera del sitio. Además, las computadoras portátiles inadecuadamente protegidas, por ejemplo, pueden terminar en manos de un atacante si se dejan desatendidas, si se pierden o son robadas. Varias herramientas de acceso remoto, a saber, el protocolo de escritorio remoto (RDP) de Microsoft, son particularmente susceptibles a la infiltración.
Solución: Los permisos de archivos y recursos compartidos sólidos son críticos, al igual que el sistema operativo y el registro de aplicaciones. Con muchas opciones de acceso remoto, puede habilitar controles de seguridad más estrictos en ciertas funciones y acceso al sistema, monitorear el uso de los empleados en tiempo real y generar registros de uso. Examine la configuración de su sistema y determine qué características y pistas de auditoría pueden proporcionar una mejor gestión, informes y seguridad. También es común que el abuso ocurra durante las horas no comerciales, así que considere limitar los tiempos en que los usuarios pueden acceder de forma remota a los sistemas.
Los requisitos estrictos de frase de contraseña pueden frustrar los inicios de sesión adivinados, y exigir a los usuarios que inicien sesión después de los tiempos de espera de ahorro de energía puede bloquear a los usuarios no autorizados. Cifrar los discos duros del sistema también ayuda a proteger los sistemas perdidos o robados. Para evitar riesgos RDP, es mejor deshabilitar el protocolo cuando sea posible. De lo contrario, se recomiendan los parches y el uso de la directiva de grupo.
2. Amenazas de terceros
Problema: Los terceros que tienen acceso a los sistemas empresariales (por ejemplo, contratistas, trabajadores a tiempo parcial, clientes, proveedores y proveedores de servicios) pueden presentar un riesgo importante para los datos confidenciales. También conocidos como ataques de la cadena de suministro o ataques de la cadena de valor, los ataques de terceros dejan vulnerables los datos confidenciales y la reputación de una empresa, como se evidencia en la breha de Target de 2013 en la que los piratas informáticos obtuvieron las credenciales de un contratista de HVAC.
Solución: Asegúrese de que cualquier tercero con el que trabaje sea confiable; mire sus antecedentes y obtenga referencias si es posible. En segundo lugar, cuente con un programa sólido de gestión de riesgos de terceros. Las herramientas de monitoreo son fundamentales para identificar comportamientos maliciosos o anómalos. El análisis del comportamiento del usuario puede detectar conductas erráticas. Restrinja el acceso de terceros a través del principio de privilegio mínimo para evitar el acceso a cualquier cosa en la red más allá de lo que se necesita para completar su trabajo.
También es importante revisar periódicamente las cuentas de terceros para garantizar que los permisos del sistema se terminen después de que se complete su trabajo. Las revisiones periódicas de acceso de usuarios para empleados y terceros son una práctica de seguridad crítica.
3. Fugas de datos por correo electrónico y mensajería instantánea
Problema: La información confidencial incluida o adjuntada a un correo electrónico o mensajería instantánea puede fácilmente, y a menudo involuntariamente, terminar en las manos equivocadas. Este es uno de los tipos de amenazas internas más fáciles de eliminar.
Solución: Una de las estrategias de mitigación más efectivas para capturar información confidencial que sale de la red es configurar un analizador de red para filtrar palabras clave, archivos adjuntos, etc. La utilización del filtrado de contenido basado en el cliente o el servidor también puede capturar y bloquear la salida de información confidencial. Del mismo modo, los mecanismos de seguridad de mensajería basados en el perímetro o subcontratados ofrecen un filtrado y bloqueo de contenido fácil de administrar.
Tenga en cuenta que ninguna de estas opciones funciona bien si el tráfico de mensajes está encriptado. Sin embargo, el filtrado al menos resaltará el hecho de que dicha comunicación está teniendo lugar. Hablando de eso, asegúrese de revisar regularmente las reglas de firewall de la empresa para determinar no solo lo que está permitido hacia dentro, sino también lo que está permitido hacia fuera de la red.
Otra amenaza de correo electrónico y mensajería a considerar es el phishing y otras estafas de ingeniería social. Asegúrese de incluir capacitación sobre conciencia de seguridad como parte de su programa de amenazas internas.
4. Compartir archivos de forma insegura
Problema: Ya sea que permita o no software para compartir archivos como Dropbox o Google Drive, o herramientas de colaboración como IM, Slack o Skype, lo más probable es que estén en su red y estén esperando ser abusados. Los servicios en sí no son el problema; es cómo se usan lo que causa problemas. Todo lo que se necesita es una configuración incorrecta simple para servir las unidades locales y de red de su red al mundo.
Solución: Si su organización permite el uso compartido de archivos y software de colaboración, le corresponde asegurarse de que los usuarios sean conscientes de los peligros. Las herramientas de monitoreo pueden ayudar a las empresas a detectar y administrar el uso de herramientas de colaboración y uso compartido de archivos.
Si no desea que se utilicen estos servicios, puede intentar bloquearlos en el firewall; sin embargo, a veces el software es lo suficientemente inteligente como para encontrar puertos abiertos para salir. También tenga en cuenta que si tiene Dropbox de nivel empresarial, por ejemplo, no puede deshabilitar el uso personal de Dropbox y mantener la versión empresarial. Asegúrese de usar un analizador de red y realice regularmente una auditoría de reglas de firewall.
5. Uso descuidado de redes inalámbricas
Problema: Uno de los tipos de amenazas internas más involuntarias es el uso inseguro de la red inalámbrica. Ya sea en una cafetería, aeropuerto u hotel, las ondas de aire no seguras pueden poner fácilmente en peligro los datos confidenciales. Todo lo que se necesita es echar un vistazo a las comunicaciones por correo electrónico o las transferencias de archivos para robar información valiosa. Las redes Wi-Fi son más susceptibles a estos ataques, pero no pasen por alto Bluetooth en teléfonos inteligentes y tabletas. Además, si tiene LAN inalámbricas dentro de su organización, los empleados podrían usarlas para explotar la red después de horas.
Solución: No puede controlar las ondas aéreas fuera de su oficina, pero puede habilitar el uso seguro de Wi-Fi. Esto implica el uso de una VPN para la conectividad de red remota, un firewall personal para evitar que los usuarios se conecten a la computadora inalámbrica y SSL/TLS para todos los mensajes.
También asegúrese de que sus redes inalámbricas internas sean seguras. Utilice la encriptación y autenticación adecuadas (WPA3 es la última versión del protocolo de seguridad Wi-Fi) y habilite el registro. Desactivar Bluetooth si no es necesario o al menos hacer que sus dispositivos no sean detectables también puede reducir los ataques inalámbricos.
6. Publicar información en foros de discusión y blogs
Problema: Los usuarios suelen publicar solicitudes de soporte, blogs u otros mensajes relacionados con el trabajo en internet. Intencional o no, esto puede incluir datos confidenciales y archivos adjuntos que pueden poner en riesgo a su organización.
Solución: Filtrar el contenido HTTP y las comunicaciones por correo electrónico en el perímetro de la red es la mejor manera de verificar y bloquear la información confidencial que se envía a dichos sitios. Sin embargo, siempre existe la posibilidad de que la información se filtre a través de transmisiones cifradas o de las máquinas personales de los usuarios. En cualquier caso, vale la pena mantenerse al tanto de la nueva información sobre su organización en la web. Una buena manera de hacerlo es suscribirse a las Alertas de Google para que pueda recibir alertas cada vez que ciertas palabras clave aparezcan en internet. Las consultas generales de Google a menudo también pueden descubrir material. Sin embargo, esto solo funciona para la información disponible para los bots de Google, que puede excluir algunos paneles de discusión.
La amenaza de los empleados maliciosos no va a desaparecer. El informe "Investigaciones de violación de datos de Verizon 2019" dijo que el 34% de todas las violaciones de datos del año anterior fueron el resultado de actores internos, frente al 28% y el 25% en 2017 y 2016, respectivamente.
Si implementa solo estas estrategias de mitigación técnicas, funcionarán, aunque sea en el vacío, a corto plazo. Para obtener un valor comercial a largo plazo, asegúrese de que estén acopladas a un programa de amenazas internas, capacitación de concientización del usuario y políticas comerciales que describan: "Así es como lo hacemos aquí". Esto, combinado con métricas de seguridad para determinar si sus contramedidas están funcionando adecuadamente, puede proporcionar una excelente protección contra todo tipo de amenazas internas, comprometidas, negligentes y maliciosas por igual.