Amenazas internas frente a malware: por qué la seguridad de los datos requiere un nuevo enfoque

Los equipos de seguridad centrados en mitigar las amenazas de pérdida de datos se enfrentan cada vez más a retos derivados de la IA, los recortes presupuestarios y la falta de formación en materia de seguridad. Los años de digitalización y de trabajo híbrido y a distancia han cambiado la estructura del uso y movimiento de datos en la mayoría de las organizaciones. Las investigaciones muestran que el problema de la seguridad de los datos sigue creciendo. El coste medio de un incidente con información privilegiada es de 15 millones de dólares, y el 27% de los CISO clasificaron el riesgo de información privilegiada como la amenaza más difícil de detectar. Se cree que el 55% de todas las pérdidas de datos provocadas por información privilegiada son actos intencionados de los empleados, y el 87% de las organizaciones han despedido a empleados en los últimos 12 meses debido a pérdidas de datos provocadas por información privilegiada, lo que hace que las soluciones de DLP sean más relevantes que nunca. Pero no es sólo la proliferación de herramientas en la nube y el trabajo a distancia lo que está acelerando el problema. En muchos sentidos, la mentalidad y las estrategias que utilizan los equipos de seguridad para atacar las amenazas internas en realidad están agravando el problema.

La respuesta convencional a las amenazas es un juego en blanco y negro, pero no debería serlo

Hasta hace unos cuatro años, el riesgo predominante para los datos procedía del malware y otras amenazas externas, lo que significaba que cazar y bloquear era el nombre del juego en las operaciones de seguridad. En ese mundo, la mentalidad militar que guía las herramientas, las estrategias y el lenguaje de la seguridad de los datos y la ciberseguridad tiene todo el sentido: pero la defensa contra los actores externos y el malware es un juego que se juega en blanco y negro. El enfoque de seguridad integral necesario para una protección total no lo es.

A medida que el trabajo a distancia se ha convertido en rutina y la colaboración se ha fragmentado, el juego del gato y el ratón en el que confiaron los equipos de seguridad durante años ha quedado desfasado.

La protección de datos es un juego de matices - jugado a todo color

Para los equipos de seguridad, la protección de los datos es un problema fundamentalmente diferente al del malware o las amenazas externas, lo que significa que proteger los datos de las personas internas requiere un enfoque fundamentalmente diferente. La pérdida de datos impulsada por información privilegiada no es un juego en blanco y negro con bandos claros; es un juego de matices, que se juega a todo color. No se trata de malos actores externos: son sus colegas. Pero su acceso ilimitado puede conducir a una exfiltración de datos que cause más daño, mucho más rápido y normalmente de forma no intencionada. Se toman atajos rápidos o se cometen lapsus de juicio en aras de la eficacia y las preferencias personales, pero cuando estos atajos puntuales no se controlan, se convierten en comportamientos habituales, lo que conlleva una pérdida potencial de miles de dólares en datos. 

Luego está el raro pero alarmante infiltrado malicioso, que utiliza su acceso a información privilegiada para cubrir sus huellas haciendo que el robo intencionado de PI se mezcle con el ruido de la productividad diaria. Esta actividad no sólo se confunde con las tareas cotidianas, sino que se mezcla con culturas construidas en torno a la colaboración y la confianza, lo que la hace aún más difícil de detectar.

En cualquier caso, proteger sus datos de los intrusos está estrechamente entrelazado con el funcionamiento de toda empresa. Es una cualidad inherente a las acciones y flujos de trabajo cotidianos: personas que editan, mueven y comparten archivos; que se conectan a distancia, fuera de la VPN y a través de aplicaciones en la nube. 

En esta dinámica entra en juego el concepto de tolerancia al riesgo. Con las empresas construyendo cada vez más ventajas competitivas en torno a la innovación y la agilidad -y el cambio histórico hacia modelos de trabajo remotos/híbridos-, la realidad es que merece la pena tolerar cierta pérdida de datos a cambio de una productividad que genere valor.

La mentalidad de seguridad convencional hace que mantener sus datos a salvo de los intrusos sea más difícil

El lenguaje, las estrategias y la mentalidad de inspiración militar (por ejemplo, la caza y neutralización de amenazas) habituales para el malware no funcionan con la DLP. De hecho, sólo empeora el problema, creando frustración y resentimiento ante los duros protocolos de seguridad. 

Dicho de otro modo, aplicar la mentalidad de seguridad convencional a las amenazas internas coloca al equipo de seguridad en una posición antagónica con personas que podrían ser socios eficaces. El "dedo en el gatillo" crispado de DLP, CASB y otras herramientas de bloqueo tradicionales derriban la actividad legítima, valiosa e inofensiva de los empleados. Este "fuego amigo", aunque bienintencionado, impide la productividad y la colaboración, lo que va directamente en contra de lo que la C-suite persigue. Además, un DLP o CASB sólo le alerta de las malas acciones que usted ya le ha dicho que busque: ¿qué pasa con el resto de riesgos que no ha especificado? El riesgo que se escapa.

La asociación que resulta de un enfoque de caza y bloqueo puede aumentar potencialmente el riesgo de filtración de datos. Porque mientras los equipos de seguridad tienen una visión de túnel en la caza del raro empleado malintencionado, están creando una tensión negativa con el resto de los empleados bienintencionados pero igualmente arriesgados. Convertir los incidentes involuntarios de pérdida de datos en reacciones exageradas empuja a los empleados a encontrar nuevas formas de sortear las herramientas y los protocolos, y empuja a las amenazas internas aún más hacia las sombras.

El objetivo con estos usuarios arriesgados involuntarios no debería ser "pillar" a los usuarios finales haciendo cosas arriesgadas; el objetivo debería ser conseguir que hagan las cosas correctas más a menudo. No se puede persuadir a un hacker o a un malware para que cambien de comportamiento. Pero cuando se trata de sus colegas, una simple educación, impartida en el momento adecuado, puede contribuir en gran medida a orientar los comportamientos y a crear una cultura consciente de la seguridad, consiguiendo que los usuarios finales colaboren con usted para mitigar los comportamientos internos perjudiciales.

Proteger y habilitar la empresa

Nadie quiere bloquear los flujos de trabajo y las prácticas. Y con cada vez más organizaciones que dan prioridad a la innovación, la colaboración y la productividad ágil, los equipos de seguridad sienten más presión que nunca: La dirección les exige que detengan las infracciones y mantengan a la empresa fuera de los titulares, pero obstaculizar la innovación y la productividad podría costarles igualmente el puesto a los responsables de seguridad. Entonces, ¿cómo encontrar el equilibrio entre la protección y la habilitación de la empresa?

La respuesta está en la comunicación y la educación. Si educa a sus colegas sobre los posibles riesgos de seguridad y les proporciona consejos y directrices sencillas, podrá persuadirles eficazmente para que cambien sus comportamientos sin obstaculizar sus flujos de trabajo. Al comprender la importancia de las medidas de seguridad y cómo contribuyen al éxito general de la empresa, sus colegas estarán más dispuestos a cumplir los protocolos de seguridad.

Con Incydr, cuando se cometen errores y se detectan comportamientos de riesgo, protegemos la relación entre los empleados y la seguridad enviando un desglose en profundidad de las mejores prácticas con nuestra función de Instructor para mantener a salvo tanto los datos de la empresa como los de los empleados.

Obtenga más información aquí.