La amenaza interna (Insider Threat) se identifica tradicionalmente de manera directa con los problemas que supone para la organización la existencia de empleados desleales. Sin embargo, la amenaza Insider Threat es más amplia y engloba todos aquellos casos en los que se produce una exfiltración de información o cualquier otro tipo de acción hostil que perjudique a una compañía y que se origine o surja en el interior de la misma. Esto abarca figuras como las del socio, proveedor, subcontratado y otros que manejen datos e informaciones y tengan acceso a los mismos. Además, hay que contar con la posibilidad de que el actor interno hostil lo sea de manera inconsciente, porque actúa por descuido o desconocimiento en su forma de proceder o bien porque está siendo manipulado, sin ser consciente de ello, por un atacante externo.
En cualquier caso, la amenaza del Insider Threat es una de las más perjudiciales para una organización, puesto que suele dejar al descubierto los aspectos más debilitados o sensibles de la misma. Al conocerla bien y desde dentro, el insider sabe los datos que debe manejar, cómo hacerlo y el momento adecuado para causar un daño mayor. Por otro lado, la moral corporativa colectiva se resiente mucho ante ese tipo de actuaciones, que generan, además, desconciertos, dudas y desconfianzas entre la plantilla y los cuadros directivos de una compañía.
El ‘insider’ sabe qué datos debe manejar y cuál es el momento adecuado para causar más daño
Bien conscientes de todo lo anterior, son cada vez más las empresas que abordan la problemática del Insider Threat actuando en tres frentes complementarios entre sí: detección, disuasión y solución o mitigación de los casos concretos que se presentan bajo esta amenaza. Para los dos primeros frentes, ha mostrado ser útil la implantación de los Insider Threat Corporate Plans, en los que, además de los departamentos de Seguridad de las empresas, han de estar implicados otros como el Judicial, Auditoría o Recursos Humanos. Estos planes, y los procedimientos internos que de los mismos se derivan, reducen mucho el margen de actuación a disposición del insider, además de enviar un fuerte mensaje de compromiso frente a la amenaza por parte de la organización.
Labor de consultoría
Tanto para la elaboración de un Insider Threat Corporate Plan como para la investigación de aquellos casos concretos en los que la amenaza ya se haya materializado, es conveniente que las organizaciones se apoyen en los servicios especializados que pueden prestar las consultoras de ciberinteligencia y riesgos globales. Por un lado, para atenuar en gran medida el desgaste interno que supone emplear en este tipo de proyectos a unidades internas de una compañía, cuyos componentes tendrán que seguir trabajando en la misma como parte de la plantilla. Y por otro, porque el valor de las soluciones que ofrece una consultora externa se basa en su objetividad a la hora de trabajar sin prejuicios ni limitaciones y en la especialización de sus soluciones, producto de la experiencia acumulada y del estudio de anteriores casuísticas muy variadas.
En cualquier caso, entre la organización y la consultora siempre es preciso que exista una colaboración activa y mantenida durante todo el tiempo en el que se lleven a cabo los proyectos. Esta colaboración no se limitará a la mera exposición de la problemática que es preciso resolver y deberá contar, por parte de la empresa, solamente con el personal imprescindible para que los proyectos de investigación salgan adelante.
En lo que respecta a los casos concretos de amenaza que se deban investigar, el objetivo es siempre llegar a la identificación del insider, así como conocer sus tácticas, técnicas y procedimientos de actuación. Se trata también de saber si trabajó con el apoyo de un agente externo hostil, las causas que le llevaron a actuar y una estimación del alcance de los daños que ha llegado a provocar.
La amenaza ‘Insider Threat’ tiene un impacto muy variado y siempre negativo para el negocio. Abarca aspectos como el reputacional, financiero, sabotaje o la pérdida y exfiltrado de información crítica
Con toda esa información, la empresa decide, dentro de su estrategia corporativa, si prefiere judicializar el caso o bien llegar a algún tipo de acuerdo o solución con el insider, una vez que este haya sido identificado. En el caso de que la empresa se decante por la vía judicial, la consultora externa presta también un importante apoyo en la tramitación de la denuncia y para que el caso se resuelva de manera exitosa ante los tribunales de justicia.
El proceso de investigación
Las investigaciones de casos concretos de Insider Threat requieren un trabajo exhaustivo y extenso. Inicialmente, hay que estudiar tres parámetros con los que ir triangulando y reduciendo el listado de «posibles candidatos» a insider. Estos tres parámetros tienen que ver, en primer lugar, con la motivación o combinación de motivaciones que han llevado al insider a actuar. En segundo lugar, y tras analizar el modus operandi de este, se fijan las capacidades técnicas y conocimientos que inevitablemente debe tener el sujeto para haber podido llevar a efecto su agresión contra la empresa. Por último, estudiando la ventana de oportunidad ha aprovechado el insider para realizar su ataque, se delimita el ámbito y nivel de privilegios con los que se mueve dentro de la organización.
Cada uno de estos parámetros supone una serie de filtrados que reducen el número de posibles candidatos a ser el insider, de manera que se acaba por llegar a una lista corta de candidatos y, finalmente, a la identificación. Como ha quedado dicho anteriormente, este proceso debe desarrollarse necesariamente con la colaboración activa de la empresa afectada por la amenaza Insider Threat y de la consultora especializada que lleve a cabo la investigación.
La actuación del Insider Threat tiene un impacto directo e indirecto muy variado y siempre negativo para el negocio. Abarca aspectos como el reputacional, financiero, sabotaje o la pérdida y exfiltrado de informaciones críticas. Muchas veces, los daños que produce esta amenaza en una empresa pueden concretarse o manifestarse cuando ya ha pasado un tiempo desde la agresión. Debido a la progresiva transformación digital de los negocios, el componente de ciberamenaza en todos estos casos de Insider Threat irá en aumento. No en vano, previsiblemente se verá reforzada por las actuales condiciones sociosanitarias a consecuencia de la pandemia del coronavirus, la crisis económica, el tensionamiento del mercado laboral y el recurso cada vez más generalizado de las empresas al teletrabajo.
