Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    3 pasos para llevar a cabo una investigación moderna sobre el riesgo de información privilegiada

    by Christian Wimpelmann

    Key Points

    • Este blog se publicó originalmente en el sitio web de Code42, pero con la adquisición de Code42 por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.

    Como expertos en riesgos internos, nuestro objetivo es siempre buscar la comprensión. Necesitamos utilizar la experiencia pasada para filtrar la información importante de un conjunto de hechos.

    Si bien las fuentes técnicas proporcionan datos inestimables sobre un acontecimiento, muy a menudo los aspectos humanos del mismo requieren conversaciones para comprenderlos plenamente.

    Cuando un analista se sale de las fuentes de datos técnicos para hablar con alguien, la línea que separa lo habitual de lo habitual se convierte en una investigación formal. Estas interacciones con los sujetos, los gestores, los propietarios de los datos, los ejecutivos o los socios de confianza son cruciales para proporcionar el contexto mientras intentamos comprender qué ocurrió, por qué ocurrió y cuál es el impacto.

    Cómo llevar a cabo una investigación sobre riesgos internos

    Paso 1: Reunir el contexto

    El punto de partida de casi toda cadena de trabajo en IRM es un dato. Quizá sea una alerta de una herramienta de seguridad que indica que se ha eliminado un archivo de un punto final o una notificación de un socio comercial de que un usuario ha presentado su preaviso de dos semanas. Debemos reunir nuestras fuentes de datos, el pajar del que intentaremos encontrar las agujas.

    La gestión del riesgo de información privilegiada difiere de otros ámbitos de la seguridad en que las fuentes de datos suelen ser tanto personas como herramientas.

    Considere las siguientes fuentes de datos cuando construya su pajar particular:

    Imagen con 6 partes interesadas clave y sus correspondientes puntos de datos

     

     

    Ahora que tenemos los datos, necesitamos reunir el contexto para decidir cómo proceder. En este punto, además de las partes interesadas clave y las fuentes de datos técnicos descritas anteriormente, añadiremos una tercera categoría: Contexto humano

     

    Paso 2: Tener "la charla"

    Debemos abordar estas interacciones con tacto, empatía y precaución. Esto no sólo protege al usuario de daños irreparables a su reputación en los casos en que el suceso no sea lo que parecía, sino que también le ayudará en los casos que sean realmente maliciosos. La mano de obra moderna e híbrida presenta tantas oportunidades como retos para estas conversaciones, por lo que es importante pensar bien cómo establecer el contacto. Si somos descuidados en lo que decimos a quién, corremos el riesgo de causar un daño irreparable a la reputación de nuestro sujeto.

    Considere lo siguiente:

    • Objetivos de una interacción (qué esperamos aprender de la conversación)
    • Orden de operaciones (con quién hablaremos y en qué orden)
    • Cómo nos pondremos en contacto (reunión en persona, llamada telefónica, mensaje de chat, etc.) 

    Establecer objetivos específicos antes de cualquier conversación ayudará a mantener las cosas en su sitio y a garantizar que obtenemos lo que necesitamos para perfeccionar nuestra determinación del riesgo sin hacer perder el tiempo a los sujetos. El orden de las operaciones ayuda a evitar un manejo inadecuado de una conversación con un compañero de trabajo que podría dar lugar a que el sujeto se entere de su investigación antes de que usted esté preparado.

    Paso 3: Documentación y determinación de los resultados

    Una vez que hemos obtenido respuesta a nuestras preguntas y estamos satisfechos con nuestra comprensión del suceso, pasamos a la fase final de la investigación: la documentación y los pasos siguientes. 

    Registros de investigación

    A lo largo del proceso de investigación es una buena idea mantener informados a los principales interesados. En Mimecast, notificamos un canal privado de Slack al inicio de la investigación. Este canal cuenta con representantes de Seguridad, RRHH y Jurídico, y es una buena forma de permitir que estas partes interesadas se mantengan informadas sobre los avances, formulen las preguntas que puedan surgir y aporten comentarios sobre la investigación en curso. 

    Determinar el resultado

    Tras la finalización de una investigación tendremos que proporcionar una determinación del resultado del suceso para satisfacer preguntas como "¿Realizó el sujeto esta acción de riesgo de forma deliberada?" y "¿Presentan un riesgo continuo para mi organización y mis datos?". Por mucho que lo intentemos, es casi imposible que un analista de IRM conozca realmente la intención de alguien, y eso es realmente lo que intenta captar esa determinación: ¿tenía este sujeto la intención de causar daño con esta acción? 

     

    27BLOG_1.jpg
    Up Next
    Insider Risk Management Data Protection |
    Cómo abordar la información no clasificada controlada (CUI) con su programa de riesgos internos

    Related Articles

    Insider Risk Management Data Protection
    Las cuentas comprometidas están siendo utilizadas como armas - Detenga ya el compromiso de credenciales
    Insider Risk Management Data Protection
    La recuperación del ransomware bien hecha: Una guía de 6 pasos
    Insider Risk Management Data Protection
    5 formas de reforzar su cultura de ciberseguridad

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top