La ciberseguridad de una empresa y los modos de trabajar en ella se complejizan a medida que aparecen nuevas soluciones inteligentes, los procesos se apoyan más en la tecnología y funciones o tareas que antes eran analógicas se digitalizan o automatizan. Esto conlleva grandes mejoras, pero también nuevas responsabilidades. Ya no se trata sólo de los riesgos de un ataque de denegación de servicio (DDoS), el ransomware, el robo de datos, el fraude electrónico empresarial o los ataques a la cadena de suministro de software.
“La superficie de ataque de cada organización se ha ampliado considerablemente”, resumen desde la compañía de ciberseguridad ESET. En esto también hacen su aporte la obligada transformación digital, las modalidades de trabajo flexibles, la incorporación de la nube como recurso clave y la creciente dependencia de proveedores externos, por mencionar algunos factores.
“Mantener a raya a los atacantes externos suele ser sólo la mitad de la batalla. Las amenazas internas no suelen recibir la debida atención, aunque el impacto de un incidente dirigido por un atacante interno puede llegar a ser incluso más grave que el de un incidente causado únicamente por un atacante externo”, explica Josep Albors, director de Investigación y Concienciación de ESET España.
Insiders
Una amenaza de ciberseguridad interna proviene desde el interior de la propia organización, siendo un empleado, un contratista o un proveedor, tanto actual como antiguo, que, debido a su rol tiene acceso autorizado a redes, sistemas o datos, y podría causar algún tipo de daño.
Ese daño puede ser ocasionado de forma intencionada o no intencionada, y dentro de este grupo, se divide en accidental o por descuido, aunque, según las estadísticas, en general sucede más por negligencias que por malicia. Estas amenazas son más difíciles de detectar y prevenir porque las soluciones de ciberseguridad están enfocadas en evitar el acceso desde el exterior, y estos riesgos se encuentran dentro del propio perímetro de la compañía, lo que implica que el peligro no sea evidente hasta que el ataque se produzca realmente o después de que el daño esté hecho.
Puede implicar el robo o uso indebido de datos confidenciales, la destrucción de sistemas internos, la concesión de acceso a agentes malintencionados, o la creación de brechas de seguridad por las que se filtra información confidencial, por ejemplo, facilitando la instalación de algún tipo de malware existente al descargar archivos maliciosos.
Para minimizar esta exposición, desde ESET sugieren una serie de medidas que consisten en combinar controles de seguridad y fomentar una cultura de concienciación sobre la seguridad entre los trabajadores.
- Colocar controles de acceso basados en funciones (RBAC) permite que sólo tengan permiso para leer o manipular datos y sistemas sensibles los empleados que realmente lo necesitan para cumplir con sus funciones. Esto puede reducir significativamente las amenazas internas, y debe complementarse con revisiones periódicas de esos privilegios de acceso.
- Impartir cursos y formaciones sobre ciberseguridad a los empleados es fundamental para ayudarles a comprender mejor los riesgos de ciberseguridad y cómo mitigarlos. Esto puede ayudar a reducir la probabilidad de amenazas internas accidentales, como ser víctimas del phishing, descargar malware o compartir información sensible en sitios no seguros. Concienciar a los empleados impartiendo formación periódica puede prevenir muchos incidentes, reduciendo los costes asociados a esta amenaza interna, así como el daño a la reputación asociado a las infracciones y los problemas legales.
- Supervisar la actividad de los empleados en los dispositivos de la empresa o en su red puede ayudar a identificar comportamientos sospechosos que pueden ser indicativos de una amenaza interna, como transferencias de datos inusuales o patrones anormales de acceso a sistemas y datos sensibles. En este caso es necesario tener en cuenta las normativas de privacidad, y acotar los controles a las actividades imprescindibles para el mantenimiento de la actividad laboral.
- Comprobar los antecedentes de todos los empleados, contratistas y proveedores antes de concederles acceso a datos sensibles y confidenciales también puede ayudar a identificar cualquier riesgo potencial. Estas comprobaciones también pueden utilizarse para verificar el historial laboral y los antecedentes penales de una persona.
- Implantar sistemas de prevención de pérdida de datos (DLP, Data Loss Prevention) que supervisen, detecten o bloqueen transferencias o intercambios de datos no autorizados, puede prevenir incidentes y a la vez protege la información confidencial. Aunque aquí también es importante señalar que los proveedores de DLP están en el punto de mira de los atacantes, lo que supone una preocupación añadida.
“Cabe señalar que ninguna de estas medidas es infalible por sí sola y que ninguna solución puede eliminar por completo las amenazas internas. Pero aplicando una combinación de estas medidas, y revisando y actualizando periódicamente las políticas de seguridad, las empresas pueden reducir significativamente su exposición a las amenazas internas”, indica Albors de ESET España.