Resulta muy común que las empresas simplifiquen el desafío que representan las amenazas internas para su organización. En la misma línea, resulta sencillo para ellos centrarse exclusivamente en sus activos conocidos como la «joya de la corona» y descuidar otros que también son relevantes y pueden ser objetivo de amenaza. En algunos casos, usuarios autorizados aprovechan la vulnerabilidad de esos activos que a priori no son tan relevantes para sacar beneficio y cometer algún acto delictivo.
Dediquemos unos minutos a analizar algunas situaciones comunes, y otras no tan comunes, que las organizaciones deben considerar al pensar en su propia postura contra las amenazas internas.
Amenazas más comunes: Las amenazas internas suelen estar incluidas en categorías más amplias. Principalmente se clasifican en función de las motivaciones que tiene la persona para actuar.
Beneficio económico: En este caso, el empleado obtendrá información, como datos de identidad de clientes, información de productos, códigos fuente u otra propiedad intelectual, para venderlos en la Dark Web u ofrecerlos a competidores directos del sector de la empresa.
Ascenso profesional: Al igual que el beneficio económico, los empleados también pueden usar información propiedad de la empresa en beneficio de sus propias carreras cuando, por ejemplo, se trasladan a un competidor. Junto con la propiedad intelectual, los objetivos comunes para este tipo de actividad delictiva incluyen contactos de clientes, conceptos creativos, estrategia corporativa y otra información que haría que un nuevo empleado fuera más valioso para su empleador.
Espionaje: Si bien puede haber ganancia económica en el caso del espionaje, esto merece ser tratado como una categoría separada en sí misma. Si una empresa es de un sector estratégico, puede ocurrir que países extranjeros busquen inducir o sobornar a empleados o colocar intencionalmente a personas en la organización para extraer información de valor. Este tipo de acciones suelen estar dirigidas por agencias de inteligencia con el objetivo de avanzar en las agendas políticas o incluso para ayudar a empresas nacionales a competir. Los actores detrás de esta clase de amenaza son persistentes, suelen tener la paciencia y los recursos necesarios para montar y mantener campañas de espionajes que duren años.
Venganza: Finalmente, algunos empleados actuarán simplemente por enfado o porque tienen algún tipo de rencor contra la organización. Puede ser debido a un ascenso o aumento de sueldo «pasado por alto», que perciba que no se le toma en cuenta en la organización o incluso por razones centradas en las relaciones personales. En estos casos, la información privilegiada busca desacreditar o avergonzar públicamente a la organización.
¿Qué queda sin protección?
La mayoría de las empresas han avanzado mucho en la identificación y protección de esos activos llamados «joyas de la corona» de la propiedad intelectual: la información confidencial de clientes, empleados y, sobre todo, las finanzas. Pero, ¿dónde más debemos hacer un mejor trabajo para disuadir las amenazas internas?
Ofertas, propuestas y contratos: Si bien estos pueden parecer menos atractivos de robar, los detalles de la oferta y la propuesta, así como los contratos, pueden ser utilizados de manera muy efectiva por una organización competidora para obtener una ventaja en una competencia legítima.
Archivos de recursos humanos: Los departamentos de recursos humanos tienen una gran cantidad de información que, si se expone, podría resultar embarazosa para una organización. Estos a menudo incluyen los resultados de las investigaciones internas, así como los archivos personales de todos los empleados de la empresa.
Correo electrónico y otras comunicaciones: Las comunicaciones entre las personas dentro de la organización se pueden utilizar con un gran efecto (negativo) y deben protegerse tanto como sea posible.
¿Quién es el responsable?
Una vez que ha sucedido algo, queda una de las cuestiones más importantes: entender e identificar al responsable. Todo esto se remonta a obtener visibilidad y comprensión del comportamiento de los usuarios en su organización. Una de las áreas de enfoque más importantes es comprender cómo los usuarios pueden eliminar datos de la red corporativa.
La reducción del riesgo de amenazas internas requiere una combinación de capacidades, incluido el paso importante de la supervisión de terminales. Muchas grandes empresas están realizando más supervisión en tiempo real para detectar y prevenir rápidamente las diversas tácticas de exfiltración de datos: copia de archivos a dispositivos externos, subida de datos a la nube, copia de información de documentos en una ventana de chat, etc.
Mejorar la clasificación de eventos –el proceso de evaluar rápidamente una alerta o evento para determinar el nivel de riesgo que representa– también se ha vuelto progresivamente más importante, por lo que cada vez es más común que las empresas coloquen más agentes en dispositivos y aplicaciones. A medida que los agentes generen más eventos de detección, la capacidad de ubicarlos rápidamente en el contexto del comportamiento de un usuario ayuda al equipo de seguridad para que no quede enterrado bajo alertas de riesgo indeterminado.
Finalmente, las investigaciones posteriores al incidente son fundamentales para comprender cómo operaron los delincuentes y para protegerse contra problemas futuros. Reunir una imagen completa del comportamiento del usuario requiere plataformas de investigación que se adapten a todo tipo de datos: alertas de herramientas de seguridad empresarial, datos de eventos de terminales, comunicaciones de usuarios como correo electrónico y chat, imágenes forenses, etc.
Los conjuntos de herramientas más eficaces en este campo combinan todos estos factores en un caso, eliminan rápidamente el ruido inevitable, colocan todo en una línea de tiempo coherente y sirven los eventos y artefactos relevantes para su revisión.
Prevención y automatización
Casi todas las organizaciones con las que trabajamos en Nuix buscan automatizar más aspectos de seguridad en los endpoints. Esto significa darle al agente del endpoint la inteligencia suficiente para decidir automáticamente si vale la pena alertar sobre una combinación de comportamientos del usuario, capturar un evento potencialmente relevante para realizar análisis más amplios o tomar medidas más agresivas, como bloquear un proceso o poner en cuarentena un sistema.
La detección rápida, combinada con la capacidad de bloquear ciertos comportamientos de los usuarios en tiempo de ejecución, tiene el potencial de mejorar significativamente la capacidad de la empresa para prevenir brechas internas potencialmente catastróficas.
En el flujo de trabajo más amplio de detección, recopilación e investigación, muchas empresas también buscan la capacidad de iniciar automáticamente la recopilación, el procesamiento y la creación de casos forenses en respuesta a las alertas.
