El número de amenazas internas no deja de aumentar y copar titulares. No es de extrañar, por tanto, que muchos CISO consideren prioritaria la identificación y el bloqueo proactivos de este tipo de amenazas. De hecho, la investigación para el informe Voice of the CISO 2024 de Proofpoint descubrió que un tercio de los CISO de todo el mundo consideran las amenazas internas como el mayor desafío de ciberseguridad de los últimos 12 meses.
Un programa de gestión de amenazas internas formal puede ayudar a su empresa a reaccionar más rápidamente ante una amenaza interna y limitar su impacto. Sin embargo, no basta con tener un programa. También hay que ser capaz de identificar, prevenir y neutralizar las amenazas internas con rapidez y eficacia. Es la única manera de limitar las pérdidas financieras y los daños a la marca.
El día para la concienciación sobre las amenazas internas es el momento ideal para reflexionar sobre la siguiente pregunta: ¿es eficaz su programa de gestión de riesgos internos? Este artículo de blog pretende dar algunas respuestas a esta pregunta. Concretamente, examinaremos un modelo que puede utilizar para evaluar la eficacia de su programa de gestión de riesgos internos.
Modelo de evaluación de la eficacia del programa de gestión de riesgos internos
Puede utilizar el modelo de evaluación de la eficacia del programa de gestión de riesgos internos (IRPEM) para analizar su programa de gestión de riesgos y determinar en qué medida respalda sus esfuerzos para prevenir, detectar, mitigar y neutralizar las amenazas internas. También puede utilizarlo junto con sus atributos para determinar qué aspectos de la seguridad puede mejorar y reforzar.
El objetivo final es crear un programa de gestión de riesgos internos maduro y predictivo que ayude a su empresa a identificar los riesgos potenciales lo antes posible.
La identificación precoz de los factores desencadenantes y los comportamientos de riesgo puede proporcionar a su empresa medidas de respuesta positivas, como la recomendación de un programa de asistencia al empleados (PAE), que ayuda a generar confianza en su programa. (Estará mejor situado para limitar las pérdidas financieras y los daños a la reputación causados por las amenazas internas con un programa eficaz que inspire confianza).
¿Cuál es la diferencia entre riesgo interno y amenaza interna?
Antes de examinar el modelo IRPEM con más detalle, es importante aclarar la diferencia entre un “riesgo interno” y una “amenaza interna”. Estos términos suelen utilizarse indistintamente, pero no significan lo mismo.
Las amenazas internas son un subconjunto de los riesgos internos. Todos los usuarios internos representan un cierto nivel de riesgo para la empresa, dado su acceso a los datos y sistemas y sus predisposiciones de comportamiento. Sin embargo, no todos los usuarios internos se convierten en una amenaza interna. Un usuario interno representa una amenaza cuando utiliza su acceso a sistemas, datos y aplicaciones para causar daños a las finanzas, la reputación, las relaciones comerciales, el personal, la misión o los clientes de la empresa, ya sea de forma involuntaria o deliberada.
Necesita un enfoque estratégico y táctico para gestionar eficazmente los riesgos y amenazas internos. Por eso es tan importante entender la diferencia entre estos dos conceptos.
El modelo de evaluación de la eficacia del programa de gestión de riesgos internos en detalle
Hablemos ahora del modelo IRPEM. Este modelo puede utilizarse para determinar si un programa de gestión de riesgos internos es:
- Reactivo (el menos eficaz)
- Proactivo (moderadamente eficaz)
- Predictivo (el más eficaz)
Los atributos asociados a cada nivel de eficacia no son una lista exhaustiva. Pero cubren los principales diferenciadores en dos áreas clave: personal y formación, y recopilación y análisis de datos.
El enfoque reactivo: “Si surge un problema, lo resolveremos”
Un programa reactivo de gestión de amenazas internas reacciona ante un suceso o problema después de que se haya producido, por ejemplo:
- Robo de propiedad intelectual/datos
- Sabotaje
- Fraude
- Espionaje
- Violencia
En general, este tipo de programas solo ofrece formación para detectar este tipo de acciones, no las señales de advertencia.
Personal y formación
Un programa reactivo:
- No incluye formación formal sobre amenazas internas para los departamentos internos, directivos o empleados. Al no ser conscientes del riesgo que suponen las amenazas internas, es menos probable que reconozcan los indicadores de riesgo.
- No dispone de una estructura segura que permita a los empleados denunciar comportamientos que indiquen una amenaza interna.
Recopilación y análisis de datos
Un programa reactivo:
- No dispone de una estrategia interna formal de detección de amenazas ni de un plan de respuesta a incidentes. La respuesta a una fuga de datos de origen interno se limita a evaluar el contexto técnico de la fuga o filtración de datos para determinar la intención del usuario.
- No fomenta la colaboración entre los departamentos implicados en caso de actividades relacionadas con una presunta amenaza interna.
- No tiene la capacidad de identificar a los empleados que podrían representar un riesgo al dejar la empresa. En su lugar, realiza una evaluación retrospectiva de las actividades del empleado al final de su ciclo laboral, buscando indicios de una posible amenaza interna, solo después de conocer su renuncia o despido.
El enfoque proactivo: “Más vale prevenir que curar”
Un programa proactivo de gestión de amenazas internas se centra en la prevención de compromisos mediante el uso de políticas, procedimientos y formación formalizados que ayuden a limitar la exposición al riesgo. El despliegue de tecnologías para identificar amenazas internas antes de que se produzcan pérdidas de datos es un aspecto clave de este planteamiento.
Personal y formación
Un programa proactivo:
- Utiliza las políticas y procedimientos de seguridad estándar existentes y la formación sobre cumplimiento para definir las expectativas básicas y gestionar las consecuencias.
- Imparte formación específica sobre amenazas internas a los departamentos pertinentes para concienciarlos sobre los indicadores de riesgo de amenazas internas que deben notificarse, como:
- Infracciones de políticas de uso aceptable
- Insatisfacción/comportamiento tóxico
- Conducta poco ética
- Uso indebido de tarjetas de empresa
- Viajes al extranjero no autorizados
- Define una estructura segura que permita a los empleados denunciar comportamientos que indiquen una amenaza interna.
Recopilación y análisis de datos
Un programa proactivo:
- Define una estrategia interna de detección de amenazas y un plan de comunicación y respuesta a incidentes.
- Prevé la puesta en marcha de un proceso de colaboración para compartir información entre los departamentos implicados en caso de actividades relacionadas con una presunta amenaza interna.
- Da prioridad al personal identificado como de alto riesgo, por ejemplo:
- Nuevos empleados – o los que todavía están en su período de prueba de 90 días.
- Grupos de excepción – empleados situados en grupos por una razón específica y que luego dejan de ser supervisados.
- Usuarios con privilegios – empleados que, por la naturaleza de su función, tienen acceso a recursos críticos o de gran valor, como información confidencial de clientes o de la empresa u otros datos, sistemas, equipos o instalaciones.
- Riesgo de dimisión – empleados que probablemente abandonen la empresa en circunstancias desfavorables (los que tienen que seguir un plan de mejora del rendimiento, están siendo investigados, han sido reasignados a un puesto categoría inferior, han recibido una mala puntuación de rendimiento que puede afectar a su bonificación, han sido objeto de medidas disciplinarias o han tenido una entrevista con la dirección antes tomar una excedencia).
- Departamentos internos – empleados que se enfrentan a cambios organizativos que pueden ser fuente de estrés laboral, por ejemplo reducciones de plantilla, fusiones y adquisiciones, reestructuraciones, reorientaciones de la empresa que pueden afectar a su trabajo, o recortes presupuestarios que pueden afectar a primas y ascensos.
El enfoque predictivo: “Adelantarse a los problemas”
En cierto modo, este enfoque es una ampliación de las etapas anteriores. Se centra en la detección de los primeros signos de factores personales, profesionales, familiares o financieros susceptibles de aumentar el riesgo de abuso interno. Integra el “factor humano” y los datos técnicos para que los analistas puedan hacerse una idea completa de la situación y predecir posibles actividades de amenazas internas para neutralizarlas.
Personal y formación
Un programa predictivo:
- Proporciona al equipo directivo, a los responsables de departamento y a los empleados los medios para identificar hasta las más pequeñas desviaciones en el comportamiento de los empleados, incluso cuando las tecnologías y soluciones de detección más potentes no lo consiguen.
- Trabaja para que sus empleados sean la primera línea de defensa contra posibles amenazas internas.
Recopilación y análisis de datos
Un programa predictivo:
- Aplica medidas internas de detección de amenazas basadas en indicadores de riesgo potencial en toda la empresa. Estos indicadores incluyen factores desencadenantes, técnicas y comportamientos preocupantes.
- Se centra en el seguimiento de los grupos de alto riesgo conocidos.
- Integra nuevos grupos de alto riesgo en función de la información recopilada sobre la evolución del panorama de riesgos y comunicada por los equipos de inteligencia de amenazas, por ejemplo:
- Ciberdelincuentes externos que atacan a empleados descontentos para obtener datos o credenciales de acceso.
- Empleados con problemas económicos, más vulnerables y más propensos a comprometerse con un ciberdelincuente a cambio de dinero.
Con un programa predictivo, también puede observar tendencias y comportamientos dentro de su empresa, lo que le permite ir un paso por delante y reducir sus riesgos. Por ejemplo, cuando su departamento de TI despliega un nuevo control de prevención, algunos de sus empleados pueden intentar saltárselo. Este comportamiento puede ayudarle a identificar grupos de empleados que necesitan ayuda adicional.
Un enfoque predictivo también permite poner en marcha un programa flexible de gestión de amenazas internas, incorporando un bucle de retroalimentación bien definido. El equipo de seguridad puede contrarrestar y responder de manera proactiva a las amenazas internas y compartir cualquier señal de alarma detectada con otros departamentos.
¿Quiere saber más?
Durante el mes para la concienciación sobre las amenazas internas, Proofpoint le invita a participar en nuestra serie de webinars. Podrá descubrir por qué es importante contar con un programa eficaz de gestión de amenazas internas, tanto si se centra en la protección de datos como en los riesgos internos.
¿Nunca ha oído hablar de la gestión de amenazas internas? Póngase al día con nuestro Paquete de primeros pasos con Proofpoint Insider Threat Management.