Detección y respuesta a los accesos no autorizados

La forma más sencilla de pensar en la seguridad de los datos se reduce a controlar el acceso y el acceso no autorizado. Ya sea en forma de acceso no autorizado a los datos o de acceso no autorizado a una red informática, es el arquetipo del riesgo para la seguridad de los datos. Aunque se trata de una idea sencilla, el reto viene a la hora de definir qué constituye un acceso no autorizado, cómo evitarlo y cómo detectar y responder a un acceso no autorizado cuando inevitablemente se produce.

¿Qué es un acceso no autorizado? Definición y puntos clave

El acceso no autorizado abarca cualquier momento en que un individuo -un actor interno o externo- accede a datos, redes, puntos finales, aplicaciones o dispositivos sin permiso. Existen varias causas o escenarios comunes de acceso no autorizado a datos y a redes informáticas: desde contraseñas débiles que se adivinan o piratean con facilidad hasta sofisticados esquemas de ingeniería social como el phishing, que engañan a los usuarios autorizados para que expongan sus credenciales, pasando por cuentas comprometidas que han sido pirateadas y tomadas por actores ilegítimos.

¿Cuáles son los riesgos de un acceso no autorizado a los datos?

Una vez que un individuo ha obtenido acceso no autorizado a los datos o a las redes informáticas, puede causar daños a una organización de varias maneras. Pueden robar directamente archivos, datos u otra información. Pueden aprovechar el acceso no autorizado para comprometer aún más las cuentas. Pueden destruir información o sabotear sistemas y redes. Todos estos escenarios conllevan riesgos inherentes, costes y multas potenciales para la empresa, pero el daño a largo plazo de un acceso no autorizado puede continuar insidiosamente en forma de reputación y confianza dañadas, así como impactos continuos en los ingresos.

5 estrategias para evitar accesos no autorizados

1. Adoptar el principio del menor privilegio (POLP)

Un informe de 2020 reveló que la mitad de las organizaciones tienen usuarios con más privilegios de acceso de los necesarios para realizar su trabajo. El enfoque POLP tiene como objetivo auditar periódicamente los privilegios de acceso de los usuarios internos para garantizar el nivel mínimo necesario de acceso a los datos, sistemas, redes y dispositivos para que la persona pueda desempeñar las responsabilidades principales de su función. Una de las claves es centrarse en la idea de las "responsabilidades fundamentales"; se puede conceder acceso temporal en casos excepcionales, pero manteniendo el acceso menos privilegiado para el trabajo diario.

2. Establezca una sólida política de contraseñas

Las contraseñas fuertes son una de las mejores protecciones contra el acceso no autorizado. Eso significa desarrollar y aplicar una política de contraseñas seguras que exija a todos los usuarios seguir las mejores prácticas establecidas para crear -y cambiar regularmente- contraseñas seguras, así como asegurarse de que las contraseñas no se reutilizan en distintos dispositivos, aplicaciones u otras cuentas. Una de las formas más sencillas de ayudar a sus usuarios a mantener contraseñas seguras es utilizar un gestor de contraseñas que pueda generar (y recordar) contraseñas con una complejidad y aleatoriedad mucho mayores de lo que un ser humano podría jamás.

3. Utilice la autenticación multifactor (MFA)

El acceso no autorizado a menudo tiene su origen en una única contraseña o credencial comprometida. Pero si lo único que ha hecho el individuo es adivinar, piratear u obtener de otro modo ilegítimo la contraseña, la autenticación multifactor puede detener fácilmente el acceso no autorizado. Sin duda, el actor ilegítimo no tendrá acceso a la forma secundaria (o terciaria) de verificación de la identidad (como un código de acceso de un solo uso enviado al dispositivo móvil del usuario legítimo). 

4. Mantenga actualizados los parches de seguridad

Los actores externos suelen obtener acceso no autorizado a través de vulnerabilidades conocidas. Afortunadamente, esto significa que estas intrusiones pueden bloquearse simplemente asegurándose de actualizar regularmente todo el software, mantener al día los parches de seguridad y configurar las actualizaciones de seguridad en automático siempre que sea posible.

5. No se olvide de la seguridad física

Aunque la mayoría de los accesos no autorizados se producen en un sentido digital -el actor no autorizado utiliza una credencial comprometida para acceder a datos o redes informáticas desde su propio dispositivo-, la seguridad físicaen su lugar de trabajo sigue siendo esencial. Tanto si se trata de un actor interno malintencionado como de un actor externo que visita su lugar de trabajo, dejar los dispositivos desbloqueados o las contraseñas escritas a la vista es una receta fácil para el acceso no autorizado.

Cómo detectar accesos no autorizados

La prevención es la primera defensa contra el acceso no autorizado. Pero cuando estos incidentes ocurren, el tiempo es esencial para mitigar los daños. Cuanto más inmediatamente pueda detectar un acceso no autorizado -y cuanto más eficazmente pueda investigar el incidente-, más rápido podrá responder eficazmente para bloquear el acceso, cerrar el paso al actor ilegítimo y recuperar el control de sus datos, sistemas y redes.

Existen muchas tecnologías de seguridad convencionales, como DLP y CASB, que prometen alertar a los equipos de seguridad de accesos no autorizados a datos o a una red informática. Por desgracia, existen tres grandes problemas con los que las herramientas de seguridad convencionales suelen tener dificultades:

Gran problema nº 1: La mayoría de los accesos no autorizados proceden de personas internas

Llamar "intrusiones" a los incidentes de acceso no autorizado es un término equivocado. Esto se debe a que alrededor de dos tercios de las violaciones de datos tienen su origen en personas con información privilegiada. Se trata de empleados, terceros como socios proveedores y otros actores internos que ya cuentan con privilegios de acceso significativos dentro de su organización. Por lo tanto, no es tan sencillo como buscar la bandera roja de un actor externo que no reconoce.

Gran problema nº 2: Muchos accesos no autorizados no están forzados

"Obtener acceso sin permiso" tiene connotaciones de pirateo o irrupción en un sistema o red. La mayoría de las veces, no es tan difícil: Los archivos y la información no están debidamente protegidos, ya sea por no proteger la información en absoluto para los usuarios internos o por no seguir el principio del menor privilegio. Y la parte de "sin permiso" para definir el acceso no autorizado también es endeble: Si no está protegido o si un empleado puede acceder a los datos o a la red, ¿necesita pedir un permiso específico? Las herramientas de seguridad convencionales basadas en políticas tienen dificultades con este tipo de accesos no autorizados porque los usuarios internos no están infringiendo ninguna norma que activaría las alertas. Pero independientemente de la intención, el riesgo sigue estando ahí.

Gran problema nº 3: Cada vez más datos no tienen permisos establecidos

En la típica empresa de la "economía del conocimiento", el "trabajo" que los empleados realizan cada día adopta la forma de archivos y datos que crean, comparten e iteran durante todo el día. Estos datos no estructurados viven en puntos finales, en aplicaciones de almacenamiento en la nube y de sincronización y uso compartido como Box o Google Drive, en archivos adjuntos de correo electrónico, chats de Slack, etc. El acceso ilegítimo a estos datos podría no ser técnicamente "no autorizado" porque los datos se están creando y evolucionando con demasiada rapidez como para que se clasifiquen oficialmente como sensibles, protegidos o de gran valor. Pero cuando esos archivos se convierten en información definitivamente más valiosa o sensible, los equipos de seguridad necesitan poder controlar (y rastrear) quién tuvo acceso a qué, cuándo y a través de qué canales.

Todos los datos importan: céntrese en las señales de riesgo

A medida que aumenta la complejidad de los datos, los sistemas y las redes en la empresa moderna, prevenir, detectar y responder a los accesos no autorizados requiere un cambio de mentalidad: Todos los datos importan. Los equipos de seguridad necesitan tener una visibilidad continua de toda la actividad de datos y archivos, en todos los usuarios y dispositivos, dentro y fuera de la red.

Esta base de visibilidad de los datos permitirá a los equipos de seguridad sintonizar el ruido de la actividad diaria e identificar una señal de riesgo de alta fidelidad que puede indicar un acceso no autorizado que no es fácil de marcar o bloquear con las herramientas de seguridad convencionales. Estas señales de riesgo se dividen en unas cuantas categorías principales -actividad fuera del horario laboral, actividad de empleados que se marchan, actividad de archivos de gran volumen o actividad de archivos de gran valor-, pero todas ellas se reducen a una idea: Los usuarios acceden a sistemas, archivos o información que normalmente no lo hacen.

Adopte un enfoque adecuado para responder a los accesos no autorizados

No existe un enfoque único para la respuesta a incidentes en caso de acceso no autorizado. La respuesta depende de a qué se accedió, quién accedió y qué ocurrió después. La clave para mitigar los daños es garantizar que su equipo de seguridad pueda obtener respuestas rápidas a esas preguntas críticas. Esa misma base de visibilidad exhaustiva de toda la actividad de usuarios, archivos y datos es la base para acelerar la investigación de incidentes, dando a los equipos de seguridad información contextual para responder a esas preguntas centrales y proporcionándoles las pruebas forenses para trabajar con RRHH, el departamento legal y el de TI para responder rápida y eficazmente.

Obtenga más información sobre cómo Mimecast Incydr puede ayudarle a detectar y responder al acceso no autorizado a datos, dispositivos, sistemas y redes de su organización.