Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    ¿Cuáles son algunos de los posibles indicadores de amenazas internas?

    Una amenaza interna es un riesgo de ciberseguridad que surge de alguien con acceso legítimo a los datos y sistemas de una organización

    by Aimee Simpson

    Key Points

    • Este blog se publicó originalmente en el sitio web de Code42, pero con la adquisición de Code42 por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
    • La detección proactiva de las amenazas internas requiere supervisar todos los movimientos de datos y combinar el análisis contextual con los conocimientos sobre el comportamiento.
    • Un sólido programa contra las amenazas internas combinado con un acceso de confianza cero y una formación receptiva mitiga los riesgos y salvaguarda los datos críticos.

    Usted conoce los riesgos de las amenazas internas y cómo pueden filtrarse valiosos secretos comerciales, información de RR.HH., datos de clientes y mucho más, intencionadamente o no. Pero, ¿cuál es la mejor manera de prevenirlos?

    Comienza con la comprensión de los indicadores de amenazas internas.

    En esta guía, descubrirá todo lo que necesita saber sobre los indicadores de amenazas internas para poder evitar las violaciones de datos y las multas potencialmente costosas, el daño a la reputación y la pérdida de ventaja competitiva que conllevan.

    Pero antes, es esencial cubrir algunos aspectos básicos.

    ¿Qué es una amenaza interna?

    Una amenaza interna es un riesgo de ciberseguridad que surge de alguien con acceso legítimo a los datos y sistemas de una organización. Estas personas suelen ser empleados, becarios, contratistas, proveedores, socios y vendedores.

    Aunque una persona infiltrada con intenciones maliciosas puede ser la primera situación que le venga a la mente, no todas las amenazas internas operan de esta manera.

    Tipos de amenazas internas

    Las amenazas internas pueden provocar muchas situaciones perjudiciales, y derivan de dos tipos principales de individuos:

    • Internos negligentes. Estas personas exponen involuntariamente información de la empresa. Puede que traten los protocolos de seguridad como una guía ligera en lugar de como reglas estrictas o que cometan un error honesto al intentar adherirse a las prácticas de seguridad. 
    • Insiders maliciosos. A diferencia de los iniciados negligentes, los iniciados maliciosos cometen el fraude deliberadamente. Sus motivaciones pueden provenir de beneficios económicos, venganza u otras razones personales. Aunque las amenazas internas maliciosas tienen más prensa, no ocurren con tanta frecuencia, ya que el 78% de las violaciones de datos debidas a personas con acceso a información privilegiada no son intencionadas.

    Independientemente de su origen, las amenazas internas pueden ser difíciles de identificar. Para salvaguardar los datos valiosos y proteger la propiedad intelectual (PI), las organizaciones deben reconocer los signos de amenaza interna.

    Posibles indicadores de amenazas internas

    Existen seis indicadores comunes de amenazas internas, que se explican en detalle a continuación. Aunque cada una de ellas puede ser benigna por sí sola, una combinación de ellas puede aumentar la probabilidad de que se esté produciendo una amenaza interna.

    1. Movimiento inusual de datos

    Los picos excesivos en las descargas de datos, el envío de grandes cantidades de datos fuera de la empresa y el uso de Airdrop para transferir archivos pueden ser signos de una amenaza interna. 

    Es posible que haya probado a etiquetar datos específicos de la empresa como sensibles o críticos para captar estos movimientos de datos sospechosos. Pero incluso con las políticas y herramientas de etiquetado de datos más sólidas, la propiedad intelectual puede escaparse por las grietas. Es más eficaz tratar todos los datos como IP potenciales y supervisar los movimientos de archivos a dispositivos y ubicaciones que no sean de confianza.

    2. Uso de software y hardware no autorizados

    Los iniciados negligentes y malintencionados pueden instalar herramientas no aprobadas para agilizar el trabajo o simplificar la exfiltración de datos. Por ejemplo, un gestor de proyectos puede inscribirse en una aplicación no autorizada y utilizarla para seguir el progreso de un proyecto interno. Los actores maliciosos pueden instalar la extensión ProtonMail para cifrar los archivos que envían a su correo electrónico personal.

    Independientemente de la intención, la TI en la sombra puede indicar una amenaza interna porque el software y el hardware no autorizados producen una brecha en la seguridad de los datos.

    3. Aumento de las solicitudes de privilegios o permisos escalados

    No es raro que los empleados, proveedores o contratistas necesiten permiso para ver información sensible. Se convierte en una preocupación cuando un número cada vez mayor de personas quiere acceder a ella, ya que usted tiene que muchos más riesgos potenciales para los datos sensibles.

    Por ejemplo, un infiltrado malicioso puede querer recopilar datos a los que antes no tenía acceso para venderlos en la web oscura. En otra situación, una persona con información privilegiada negligente que haya accedido a ella desde una red no segura puede filtrar accidentalmente la información y provocar una violación de datos.

    Cuantas más personas tengan acceso a información sensible, más amenazas internas inherentes tendrá entre manos.

    4. Acceso a información que no es esencial para su función laboral

    Otra señal potencial de una amenaza interna es cuando alguien ve datos que no son pertinentes para su función. Por ejemplo, sería sospechoso que un empleado de marketing intentara acceder a los números de la seguridad social de sus colegas, ya que no necesitan esta información para realizar su trabajo.

    Aunque ese ejemplo es explícito, otras situaciones pueden no ser tan obvias. Si un empleado está trabajando en un proyecto altamente interfuncional, acceder a datos específicos que no son fundamentales para su función laboral puede parecerle bien, aunque no los necesite realmente.

    Estas situaciones, combinadas con otros indicadores, pueden ayudar a los equipos de seguridad a descubrir amenazas internas.

    5. Archivos renombrados cuya extensión no coincide con el contenido

    Los infiltrados maliciosos pueden intentar enmascarar su exfiltración de datos renombrando los archivos. 

    Por ejemplo, un empleado que cambia el nombre de un archivo PowerPoint de una hoja de ruta de un producto a "2022 tickets de soporte" está intentando ocultar su contenido real. La conversión de archivos zip a una extensión JPEG es otro ejemplo de actividad concerniente. 

    Una herramienta de seguridad de datos que pueda encontrar estos archivos y extensiones no coincidentes puede ayudarle a detectar actividades potencialmente sospechosas.

    6. Empleados salientes

    Tanto si un empleado abandona una empresa voluntaria como involuntariamente, ambos escenarios pueden desencadenar una actividad de amenaza interna. 

    Los empleados pueden reenviar planes estratégicos o plantillas a dispositivos personales o sistemas de almacenamiento para obtener una ventaja en su próximo puesto. Otros con intenciones más hostiles pueden robar datos y dárselos a sus competidores. 

    La salida de empleados es otra razón por la que observar el movimiento de archivos de usuarios de alto riesgo en lugar de confiar en la clasificación de datos puede ayudar a detectar fugas de datos.

    Por qué es ineficaz vigilar sólo los indicadores de comportamiento

    Las empresas que sólo examinan el comportamiento físico de un empleado en lugar de una combinación de las señales digitales mencionadas anteriormente pueden, por desgracia, pasar por alto una amenaza interna o identificar erróneamente la verdadera razón por la que un empleado tomó datos.

    Algunos indicadores de comportamiento incluyen trabajar a horas intempestivas, discutir frecuentemente con los compañeros, tener un cambio repentino en las finanzas, bajar el rendimiento o faltar al trabajo con frecuencia. Aunque estas señales pueden indicar una conducta anormal, no son especialmente fiables por sí solas para descubrir amenazas internas. Estas señales también podrían significar cambios en la vida personal de un empleado de los que la empresa podría no estar al corriente.

    La supervisión de todos los movimientos de archivos combinada con el comportamiento de los usuarios proporciona contexto a los equipos de seguridad. Pueden identificar mejor los patrones y responder a los incidentes en función de su gravedad.

    Estrategias para la prevención de amenazas internas

    Descubrir las amenazas internas a medida que surgen es crucial para evitar las costosas multas y los daños a la reputación derivados de las violaciones de datos. 

    He aquí algunas estrategias que puede aplicar para detectar indicadores de amenazas internas y reducir las posibilidades de una fuga de datos:

    • Implemente controles de acceso con una estrategia de confianza cero. Una estrategia de confianza cero restringe los permisos de los empleados a los necesarios para su función. Adoptar la confianza cero disminuye el daño que pueden hacer los infiltrados y hace más evidente cualquier solicitud para mejorar su acceso.
    • Utilice una formación de seguridad receptiva. Los vídeos largos o los métodos de formación que los empleados anotarán como un "elemento de la lista de comprobación" anual pueden no impulsar hábitos de trabajo seguros. Educar a los empleados en varios momentos a lo largo del año, especialmente después de que cometan un error, puede ayudarles a memorizar las mejores prácticas de seguridad.
    • Supervise y proteja todos los datos, no sólo los que haya clasificado como "importantes". La supervisión de todos los movimientos de archivos puede ayudar a proteger los datos y evitar que los comportamientos de riesgo se escapen de las manos, revelando las amenazas internas antes de que filtren datos. 
    • Cree una línea de base de la actividad de confianza. Es más fácil distinguir el comportamiento arriesgado del normal con un punto de referencia. Un software de ciberseguridad óptimo puede ayudarle a establecer en qué dispositivos y destinos confía e identificar movimientos de datos sospechosos hacia lugares en los que no confía. 
    • Inicie un programa de amenazas internas. Incluso si dispone de un presupuesto limitado, el beneficio a largo plazo de crear un programa sólido contra las amenazas internas merecerá la pena por los recursos y las molestias que ahorrará al abordar de forma proactiva el riesgo de amenazas internas.

    Utilizar una o una combinación de estas tácticas para detectar amenazas internas puede ayudar a agilizar el flujo de trabajo de su equipo de seguridad y evitar que se produzcan amenazas internas.

    Comience a detectar los indicadores de amenazas internas

    Un movimiento aparentemente inofensivo de un contratista negligente o el robo malintencionado de un empleado descontento pueden poner en peligro los datos y la propiedad intelectual de su empresa. Estas situaciones pueden provocar daños financieros o de reputación, así como una pérdida de ventaja competitiva.

    Los responsables de la seguridad pueden empezar a detectar los indicadores de amenazas internas antes de que se produzcan daños mediante la aplicación de estrategias para la prevención de amenazas internas, incluido el uso de software que supervise la filtración de datos de personas con acceso a información privilegiada. 

    Uno de estos programas de detección es Mimecast Incydr. Mimecast Incydr rastrea todos los movimientos de datos a ubicaciones no fiables como unidades USB, correos electrónicos personales, navegadores web y más. Su modelo automatizado de priorización de riesgos ofrece a los equipos de seguridad una visibilidad completa de las exfiltraciones de datos sospechosas (¡y no sospechosas!). La solución también cuenta con una amplia gama de controles de respuesta para minimizar las fugas de datos por amenazas internas y fomentar hábitos de trabajo seguros por parte de los empleados en el futuro.

    18BLOG_1.jpg
    Up Next
    Insider Risk Management Data Protection |
    ¿Qué es la seguridad de las aplicaciones en la nube?

    Related Articles

    Insider Risk Management Data Protection
    Las cuentas comprometidas están siendo utilizadas como armas - Detenga ya el compromiso de credenciales
    Insider Risk Management Data Protection
    La recuperación del ransomware bien hecha: Una guía de 6 pasos
    Insider Risk Management Data Protection
    5 formas de reforzar su cultura de ciberseguridad

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top