3 enfoques comunes de las amenazas internas y cómo fracasan

La mitigación de las amenazas internas ha sido una prioridad para la mayoría de los equipos de seguridad desde hace varios años. Pero más recientemente, se está abriendo camino en la C-suite, ya que los líderes empresariales de alto nivel reconocen que averiguar cómo detener las amenazas internas es fundamental tanto para proteger como para permitir el crecimiento del negocio. A pesar de la mayor concienciación, la aterradora realidad es que el problema de las amenazas internas no se está ralentizando. Los incidentes de amenazas internas están aumentando - y cada vez es más costoso hacerles frente.

Cada semana, un nuevo caso de gran repercusión aparece en los titulares, abarcando todas las industrias: Un empleado salientede Pfizer se llevó secretos de vacunas a una empresa rival. Apple se ha visto envuelta en varios pleitos por robo de propiedad intelectual con antiguos empleados, mientras que Yahoo llevó a un ex empleado ante los tribunales por robar secretos comerciales. Tesla demanda a otro antiguo ingeniero por robar código valioso. Por último, la empresa de tecnología financiera Block experimentó una actividad interna maliciosa que provocó una violación de datos en su filial Cash App, lo que puso a la organización en riesgo de incumplimiento.

Las amenazas internas están perjudicando a las empresas de forma mensurable y cada vez con mayor frecuencia. Entonces, ¿qué están haciendo la mayoría de los equipos de seguridad al respecto? Echemos un vistazo a tres de los enfoques más comunes en la prevención actual de las amenazas internas - y cómo se quedan en nada en el mundo real:

1. Apueste por un enfoque que dé prioridad al bloqueo (DLP)

Naturalmente, la primera respuesta a una amenaza es intentar detenerla. La estrategia más común que adoptan hoy en día los equipos de seguridad es tratar de aprovechar las soluciones de DLPexistentes y complementarlas con CASB y User Entity Behavior Analytics (UEBA) en un intento de rastrear granularmente -y predecir- comportamientos internos potencialmente maliciosos.

La esencia de la DLP convencional es identificar a un usuario que está haciendo algo que se considera incorrecto o arriesgado y detener esa actividad. Yendo directamente al grano: en los actuales entornos de trabajo de nube híbrida, simplemente no se puede liderar con bloqueo. Animamos a los empleados a encontrar formas creativas de sortear las barreras en su trabajo, y ellos también encuentran formas creativas de sortear las normas de DLP. La mano de obra actual depende de un llavero cada vez mayor de herramientas no sancionadas, no supervisadas y potencialmente vulnerables para colaborar de forma productiva en el trabajo, lo que significa que siempre hay nuevas formas de mover datos que las reglas de DLP no tienen en cuenta. 

Las herramientas de prevención convencionales como DLP sólo buscan lo que usted les dice que busquen. En resumen, entre la portabilidad de los datos y la creatividad de los usuarios, los equipos de seguridad no pueden pensar en todo lo que deben vigilar. Así pues, los riesgos, incluidos su código fuente, listas de clientes, hojas de ruta de productos y planes de ingeniería, pueden escaparse fácilmente por las rendijas del enfoque basado únicamente en la prevención. Y como las herramientas de DLP no saben cuándo han sido vencidas, no es el equipo de seguridad el que alerta a la empresa de las fugas de datos: es el equipo jurídico, o es un titular embarazoso, o es un año después, cuando un competidor sale al mercado con un producto imitador.

Para colmo de males, las herramientas de prevención convencionales no sólo no consiguen detener todas las acciones de riesgo, sino que a menudo también interrumpen las actividades de colaboración legítimas. La sobrecompensación con estrictas políticas de DLP acaba ahogando la productividad, la colaboración y la innovación de los usuarios, impactos que causan su propio daño a la empresa. Debido a la forma en que la DLP bloquea o señala acciones sin un contexto completo, a menudo acaba enmarcando una acción no maliciosa de un usuario autorizado como una acción maliciosa de un usuario con intenciones peligrosas. Esto no es sólo una pérdida de seguridad y de tiempo de los usuarios, también es un enfoque carente de empatía hacia los empleados y puede dañar significativamente la cultura y la confianza en el lugar de trabajo.

La prevención por sí sola no es suficiente.

La DLP convencional, el CASB y otras herramientas de prevención pueden desempeñar un papel en la protección de los datos regulados y estructurados. Pero no pueden detenerlo todo, y cuando una acción de riesgo se cuela por las rendijas, un enfoque basado únicamente en la prevención deja a los equipos de seguridad volando a ciegas, incapaces de detectar, investigar y responder antes de que el daño esté hecho. Por eso el 76% de las organizaciones siguen sufriendo una violación de datos a pesar de contar con una solución de DLP.

2. Centrarse en el usuario en lugar de en los datos

Cuando los equipos de seguridad acaban reconociendo que las rígidas políticas de DLP no pueden gestionar datos no estructurados en evolución y usuarios dinámicos y creativos, recurren a herramientas centradas en el usuario (por ejemplo, UAM, UEBA) para obtener una visibilidad granular de la actividad de los usuarios. Tiene sentido: son sus usuarios los que perpetran el robo de información privilegiada; los datos no se roban solos.

El problema es que los usuarios hacen muchísimas cosas cada día - y el 99% de ellas son completamente legítimas e inofensivas. Las herramientas de comportamiento del usuario intentan utilizar la IA para distinguir el comportamiento normal del anormal, lo que en teoría suena muy bien. Sin embargo, sin un contexto completo de la actividad del usuario y personal capacitado, los equipos de seguridad terminan siendo bombardeados con alertas y demasiado ruido. Incluso si identifican correctamente el comportamiento normal frente al anormal, anormal no es sinónimo de arriesgado. Por lo tanto, los equipos de seguridad siguen sobrecargados con falsos positivos y podrían distraerse con los peligros equivocados, mientras que las fugas de datos reales se escapan por las grietas.

Pero no puede ignorar el otro gran problema de las herramientas de supervisión de usuarios: la privacidad de los empleados. La evolución de las normativas sobre privacidad como el GDPR y el CCA ponen en tela de juicio muchas prácticas de seguimiento de los usuarios. Luego están las implicaciones del Gran Hermano. La vigilancia de los usuarios implica una sospecha inmerecida y perjudica indudablemente a la cultura de la empresa y del lugar de trabajo, dañando la confianza y la capacitación de los empleados en un momento en el que adoptar y apoyar nuevas formas de trabajo puede suponer una poderosa ventaja competitiva para una empresa. 

Muchos verán esto como un enfoque poco empático con la seguridad, lo que podría desencadenar una relación de confrontación entre los equipos de seguridad, la dirección y los usuarios, poniendo en peligro el elemento más crítico de cualquier programa contra las amenazas internas: la aceptación y la adhesión de los empleados.

Es un problema de tecnología, no de personas

A fin de cuentas, un enfoque centrado únicamente en el usuario fracasa por una simple verdad: las herramientas centradas en el usuario miran en la dirección equivocada. A los equipos de seguridad no les importa realmente lo que hacen los empleados en la nube o en la web; les importa dónde van a parar los datos de la empresa. Por defecto, todos somos iniciados accidentales, queramos o no admitirlo. Alguien ha pulsado "enviar" sin saberlo en ese correo electrónico que contenía información confidencial, alguien ha creado un enlace de acceso público en Box, alguien ha transportado datos a otra fuente no fiable con la intención de conseguir su trabajo y, por supuesto, alguien ha sido presa de técnicas avanzadas de phishing. 

Los accidentes ocurren y en la raíz de esos accidentes están las personas. Durante demasiado tiempo hemos considerado erróneamente el problema como un problema de "personas" frente a un problema de "tecnología".

3. Sacar los datos

El tercer enfoque más común frente a las amenazas internas -y una respuesta directa al problema del "demasiado ruido"- consiste en seleccionar o filtrar los datos que "no son importantes". Esto requiere el temido ejercicio de clasificación de datos, doloroso, largo y costoso. Pero como ya se ha comentado, la realidad es que los equipos de seguridad no pueden pensar en todo. En este caso, cada vez es más imposible dar cuenta de todos sus datos valiosos y vulnerables en tiempo real. Esto se debe a que los datos no estructurados no son estáticos: evolucionan, se mueven, se comparten y se itera sobre ellos como parte de la cultura de colaboración moderna. Y el valor y la vulnerabilidad cambian a medida que cambian los datos.

Claro, una empresa podría intentar dar cuenta de la naturaleza dinámica de sus datos con una clasificación de datos regular. Pero la mayoría de los responsables de seguridad retroceden asustados ante el tiempo y el coste de un solo ejercicio de clasificación de datos. Además, por muy recientemente que haya clasificado sus datos, la naturaleza dinámica de sus valiosos datos no estructurados le deja con la clara posibilidad de que algo que ha ignorado como "no importante" acabe convirtiéndose en algo increíblemente valioso para su negocio. 

Con demasiada frecuencia, la primera vez que el equipo de seguridad se da cuenta del descuido es cuando se entera de que se han sustraído datos valiosos que se habían pasado por alto. Para entonces, ya es demasiado tarde: han sido sorprendidos por una amenaza interna. La cruda realidad: las amenazas a los datos impulsadas por los empleados han superado a los programas, políticas y herramientas existentes en la actualidad.

En última instancia, todo depende del contexto

La cultura de la colaboración se ve impulsada por la rápida evolución de los datos no estructurados. Las empresas ya no pueden distinguir entre datos "importantes" y "sin importancia". Necesitan capturar y supervisar todos los datos para detectar cuándo y cómo los archivos valiosos se mueven a lugares que no deberían a través del endpoint y de la nube, sin interrupciones y muchos ajustes. Además, teniendo en cuenta que hemos llegado a una era de almacenamiento realmente ilimitado, la lógica que subyace a la selección de los datos de clasificación es ahora errónea. La velocidad para investigar y responder es la misma, si no más rápida, así que ¿por qué filtrar lo que puede convertirse en pruebas de datos críticos en una fecha posterior? 

Pero cuando se recopilan tantos datos, es esencial saber qué archivos fueron a dónde, cuándo y catalizados por quién. El contexto debe extenderse al conocimiento organizativo sobre aspectos como "cuándo se espera que trabajen los usuarios" por departamento y "qué tipos de archivos consideran importantes los responsables de línea de negocio". Tener respuestas a estas preguntas entra dentro del "contexto" que es vital que tengan los equipos de seguridad para poder prevenir las amenazas internas.

Es necesario tratar a los usuarios individuales y a las organizaciones de forma diferente en función de sus funciones laborales. Por ejemplo, si se penalizara a un vendedor por subir una presentación de diapositivas al Dropbox de un posible cliente, se restringiría su capacidad para hacer su trabajo. Sin embargo, si de repente empezaran a subir montones de archivos a GitHub o mega.co, podría haber un problema.

Hacer frente a la inevitable amenaza interna

Hoy en día, las empresas de todos los sectores se esfuerzan por conseguir el tipo de cultura dinámica, ágil y flexible que fomente, permita y potencie nuevas formas de trabajar y desbloquee una potente innovación. En este entorno, es un error considerar el aumento de la amenaza interna como un problema que puede ser totalmente sofocado. De hecho, la amenaza interna es un subproducto natural de una cultura de colaboración exitosa. Constituye una seria amenaza para la empresa, que debe ser vigilada y mitigada de forma proactiva y diligente.

La prevención es sin duda el primer paso en un programa de prevención de amenazas internas. Sin algún tipo de muralla alrededor de sus valiosos y vulnerables datos, su organización está completamente expuesta a los ataques, tanto desde dentro como desde fuera. Pero la prevención por sí sola no es suficiente, y bloquear primero es un enfoque demasiado rígido, que deja un enorme vacío en la pila de seguridad.

Necesita una detección y respuesta a las amenazas internas diseñadas a medida

Los equipos de seguridad del siglo XXI necesitan una solución que les ayude a priorizar fácilmente entre los errores de bajo riesgo y las amenazas reales, de forma rápida y precisa. Necesitan poder evitar la pérdida de datos y corregir comportamientos sin agotar el tiempo de seguridad y la productividad de los usuarios. Y como el riesgo no disminuye, no tiene tiempo para un despliegue largo y complicado. Necesita una herramienta que se despliegue en días y le proporcione la visibilidad que necesita en segundos.

Qué necesita para resolver el problema

Más allá de tener la visibilidad necesaria para supervisar por dónde se mueven los datos no estructurados y la capacidad de priorizar contextualmente las amenazas, los equipos de seguridad también deben estar facultados para abordar la causa raíz de las amenazas internas: los propios empleados. Las soluciones modernas como Mimecast Incydr se diferencian de las convencionales por ofrecer a los equipos de seguridad una amplia gama de respuestas procesables y del tamaño adecuado, proporcionales a la gravedad del riesgo. Un plan ideal de detección de riesgos y respuesta debería

• Establezca políticas de uso adecuadas, planes de comunicación, procedimientos de escalada y gestión de incidentes y procesos de documentación
• Abordar, corregir y cambiar el comportamiento de los usuarios mediante lecciones adecuadas y receptivas sobre las mejores prácticas de seguridad 
• Contenga las amenazas y aplique la prevención de nuevas acciones de riesgo por parte de los usuarios mediante controles de acceso de usuarios, procedimientos de cuarentena y protocolos de seguridad.

En última instancia, estas respuestas deben centrarse en educar a los usuarios de forma intencionada y empática, informándoles sobre el impacto a largo plazo de sus acciones inmediatas, mientras que los equipos de seguridad se centran en determinar el alcance de cualquier infracción y en cerrar nuevas brechas de seguridad.

Tratar a los empleados como partes interesadas valiosas de la seguridad de la organización -en lugar de amenazas potenciales que hay que poner bajo el microscopio- no es sólo un enfoque más empático de la gestión del riesgo de amenazas internas. También es una forma proactiva de que los equipos de seguridad se abran paso a través del ruido -reduciendo la probabilidad de acciones accidentales de los usuarios- para que puedan priorizar los recursos y la energía en la identificación y respuesta a las verdaderas amenazas internas que se esconden en medio del entorno de datos en constante cambio y crecimiento de su organización.