Según el informe Voice of the CISO, las amenazas internas son una de las principales preocupaciones de los CISO en todo el mundo. Y no es difícil entender por qué: el cambio al modelo de teletrabajo, la aceleración de la transformación digital y la Gran Dimisión han incrementado el riesgo de pérdida de datos para las organizaciones que intentan proteger sus datos más estratégicos (la Gran Dimisión también se conoce como la Gran Reestructuración y se trata de una rotación de empleados sin precedentes). Basta con leer los titulares diarios para ver el impacto y la prevalencia de las amenazas internas; por ejemplo, la fuga de datos de LastPass afectó a 25 millones de usuarios.
Ninguna organización es inmune a las amenazas internas porque todas tienen una característica en común: las personas. Después de todo, los datos no se pierden solos; son las personas quienes los mueven o gestionan de forma inadecuada. Como resultado, para enfrentarse a las amenazas internas y aumentar la sensibilización, se precisa un enfoque centrado en las personas que vaya más allá del contenido para conocer el contexto. Pero ¿qué significa esto realmente? ¿Cómo pueden las organizaciones gestionar las amenazas internas con eficacia y con el mínimo impacto en su actividad? Para profundizar, empezaremos por definir qué son las amenazas internas.
Amenazas internas frente a riesgos internos
Un usuario interno es un empleado, contratista o partner comercial actual o anterior que tiene o ha tenido acceso autorizado a la red, los sistemas o los datos de la organización. En otras palabras, es un usuario que goza de una posición de confianza; cuando un usuario interno utiliza esta posición en su propio beneficio, ya sea deliberadamente o por error, se convierte en una amenaza para la organización.
A veces, los términos “riesgo interno” y “amenaza interna” se utilizan indistintamente, pero no son lo mismo. Las amenazas internas son un subconjunto de los riesgos internos: todos los usuarios internos suponen un riesgo para la organización, dado que tienen acceso a sus datos y sus sistemas. Sin embargo, no todos los usuarios internos se convierten en una amenaza interna. Es una importante diferencia que exige un enfoque estratégico y táctico para gestionarla con eficacia.
Tipos de amenazas internas
Hay tres tipos básicos de amenazas internas:
- Los usuarios negligentes son personas bienintencionadas que toman malas decisiones, como compartir datos de clientes externamente por error o transferir documentos estratégicos sensibles a un dispositivo USB. Según el Informe de 2022 sobre el coste de las amenazas internas a nivel mundial del Ponemon Institute, los usuarios negligentes provocan el 56 % de los incidentes.
- Los usuarios maliciosos actúan en beneficio propio y para hacer daño a la organización. Algunos ejemplos son la filtración de secretos comerciales y el robo de propiedad intelectual cuando un empleado deja la empresa. Aunque los usuarios maliciosos representan cerca de un cuarto de todos los incidentes internos, se trata de incidentes que reciben gran publicidad, dado su posible impacto en las finanzas y la imagen de la marca.
- Los usuarios comprometidos son aquellos cuyas credenciales ha robado un ciberdelincuente para acceder a los datos y los sistemas de su organización. Normalmente, estos usuarios tienen acceso privilegiado a la información, lo que los convierte en objetivo para los ciberdelincuentes externos. Los usuarios comprometidos suman el 18 % de los incidentes internos.
Para elegir la mejor respuesta, es fundamental saber de qué tipo de amenaza interna se trata y conocer el contexto.
Conocer el contexto: la analogía del conductor
Entenderá mejor la importancia del contexto con la analogía del conductor que se salta un semáforo en rojo.
Imagine que es usted un agente de policía que acaba de llegar a un gran cruce. Al llegar, ve a un conductor saltándose un semáforo en rojo. A primera vista, la cosa parece sencilla: el conductor ha infringido claramente las normas de tráfico y merece una multa. Sin embargo, ¿deben tratarse de igual modo todas las infracciones de este tipo?
Veamos la situación con más contexto. ¿Qué ocurre si se entera de que el conductor llevaba 10 minutos esperando en el cruce y al final pensó que seguramente el semáforo estaba estropeado y que podía continuar? En tal caso, teniendo más contexto e información, quizá no le extendería una multa. Este conductor es equiparable al usuario negligente: su intención era buena, pero quizá actuó con descuido.
¿Y si se saltó el semáforo para seguir a otro conductor y encararse con él? Quizá conducían con el carné recientemente suspendido y, justo antes del semáforo en rojo, mantuvieron una acalorada discusión. En este caso, es posible que el conductor estuviera intentando perjudicar al otro y, en calidad de policía, usted debe reaccionar lo más rápidamente posible para minimizar el daño que el conductor malicioso pueda causar.
Otra posibilidad es que el conductor haya robado un coche tras asaltar un banco. Cuanto más investiga y más pruebas reúne, se hace más evidente que el conductor no es quien cree y que precisa la participación de otras fuerzas de seguridad. Aquí la respuesta sería completamente diferente a la necesaria ante un conductor negligente o malicioso.
Principales conclusiones
Como hemos visto en este ejemplo, el contexto desempeña un papel crucial para comprender la situación en su conjunto y encontrar la mejor respuesta. A falta de más información, tendría que responder de la misma manera con todos los conductores. Sin embargo, la visibilidad lo cambia todo. Con visibilidad, puede ver la situación completa, valorar el riesgo, evaluar el impacto y elegir la mejor respuesta.
Proofpoint cree que, para gestionar las amenazas internas con eficacia, hace falta contexto. Responder a un usuario malicioso del mismo modo que ante uno negligente puede tener consecuencias costosas e inesperadas. Por eso, nuestro enfoque proporciona visibilidad y datos contextuales. Con esta información, puede averiguar quién, qué, cuándo y dónde para responder de la forma adecuada.
Más información
Únase a uno de nuestros seminarios web del mes de concienciación sobre amenazas internas para aprender las mejores prácticas de gestión de estas amenazas. Escuche la perspectiva y los consejos de Forrester y asista a una charla informal con Pfizer sobre las estrategias para mitigar el riesgo de las amenazas internas. Conozca a fondo las amenazas internas y aprenda a concienciar a sus usuarios con el Insider Threat Starter Pack.
Por último, oiga el último episodio del podcast Protecting People para seguir aprendiendo a proteger su organización frente a los usuarios de riesgo.