¿Qué es el riesgo de información privilegiada?
A diferencia de las amenazas internas, el riesgo interno no es un concepto ampliamente definido - para resolver este problema, hemos creado nuestra propia definición de riesgo interno
Key Points
- Este blog se publicó originalmente en el sitio web de Code42, pero con la adquisición de Code42 por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
- La Amenaza Interna se centra en la identificación de usuarios malintencionados, mientras que el Riesgo Interno adopta un enfoque más amplio, centrado en los datos, para salvaguardar a las organizaciones contra cualquier forma de compromiso de los datos.
- La gestión del riesgo de información privilegiada hace hincapié en salvaguardar los datos utilizando estrategias proactivas como el marco Archivo-Vector-Usuario y detectando anomalías mediante indicadores de riesgo de información privilegiada.
"El riesgo de información privilegiada se produce cuando cualquier exposición de datos (independientemente del valor percibido de los datos o de la intención del usuario) pone en peligro el bienestar de una organización y de sus empleados, clientes o socios".
El riesgo interno se centra en los problemas de datos de una organización más que en sus problemas de personas. La gestión de las amenazas internas implica intentar adivinar qué usuarios suponen una amenaza para los datos de una organización y tomar medidas para gestionar estas amenazas. Sin embargo, este enfoque suele ser ineficaz porque la mayoría de las violaciones de datos se producen por negligencia, lo que significa que centrarse en las "amenazas obvias" hará que se pasen totalmente por alto.
Por el contrario, la gestión de riesgos internos se centra en los datos que corren peligro de verse comprometidos. Al vigilar las actividades que ponen en peligro estos datos, la gestión de riesgos internos prepara a una organización para responder a cualquier posible violación de datos, independientemente de la intención que haya detrás.
¿Por qué son tan peligrosos los riesgos internos?
Los riesgos internos son peligrosos porque cada riesgo interno es una posible violación de datos a punto de producirse. Los riesgos de información privilegiada se producen cuando se exponen datos valiosos y potencialmente perjudiciales para una organización. Esto puede ocurrir con o sin intención maliciosa por parte del infiltrado que causó la exposición.
Los empleados y otras personas con información privilegiada necesitan acceder a datos sensibles para realizar su trabajo; sin embargo, existe una delgada línea entre el uso "seguro" y legítimo de los datos y los riesgos de la información privilegiada. La gestión eficaz del peligro de los riesgos internos requiere la capacidad de diferenciar entre las operaciones normales y los riesgos internos. Esto permite a la empresa gestionar estos riesgos minimizando el impacto sobre la actividad legítima y la productividad de los empleados.
Los riesgos de la información privilegiada plantean problemas de exposición, fuga y robo de datos
Nuestros informes anuales sobre la exposición a los datos encuestan a 700 líderes empresariales, responsables de seguridad y profesionales de empresas de EE.UU. Obtenga más información sobre los factores que conducen a un mayor riesgo de información privilegiada. Lea el informe sobre la exposición a los datos de 2022.
60% de las violaciones de datos están relacionadas con información privilegiada.
96% de las empresas experimentan retos a la hora de proteger los datos corporativos de los riesgos de la información privilegiada.
10% de los presupuestos de las empresas se dedican a hacer frente a los riesgos internos.
¿Cómo identificar los riesgos internos?
Una parte clave de la gestión de riesgos internos es diferenciar con precisión entre el uso legítimo y seguro de los datos y las acciones que ponen en peligro a la empresa. Para ayudar a diferenciar entre estos dos casos, recomendamos utilizar el enfoque Archivo-Vector-Usuario planteándose las siguientes preguntas:
- Archivo: ¿Qué archivos son los más valiosos para su empresa?
- Vector: ¿Cuándo, dónde y cómo se mueve su propiedad intelectual (PI)?
- Usuario: ¿Quién lo mueve? ¿Es normal o anormal?
Estas preguntas ayudan a destilar la vasta colección de datos de su organización y las acciones realizadas con esos datos hasta los verdaderos acontecimientos de interés. Cada una de estas preguntas ayuda a eliminar parte del "ruido" que puede pasarse por alto sin peligro:
Archivo
Aunque su organización tenga muchos datos, no todos son sensibles o críticos para las operaciones. Averiguar qué datos son importantes o potencialmente perjudiciales para su organización le permite ignorar en gran medida el resto.
Vector
Los datos se mueven por las redes de su organización constantemente, y la mayor parte de este movimiento forma parte de operaciones comerciales legítimas. Son las anomalías las que deben preocuparle.
Usuario
No todos los usuarios de su organización son iguales. Algo que es normal para un administrador de bases de datos (como borrar una tabla de la base de datos) es una gran señal de alarma para uno de los empleados del departamento financiero. Este contenido es esencial para detectar los riesgos internos.
¿Cuál es el signo más probable de un riesgo interno?
Intentar considerar individualmente cada dato y actividad de su entorno para detectar una posible amenaza interna no es un enfoque escalable. Por suerte, existen algunas herramientas que pueden ayudar a diferenciar los riesgos de la actividad normal.
Los indicadores de riesgo de información privilegiada (IRI) son anomalías que ponen de manifiesto un riesgo potencial de información privilegiada.
Cuatro ejemplos de indicadores de riesgo de información privilegiada
1. Acceso a los archivos en horarios inusuales
La mayoría de los empleados tienen un horario de trabajo bastante constante. Si la cuenta de un empleado accede a datos fuera de este horario estándar, puede indicar un intento de ocultar descargas de archivos o una cuenta comprometida.
2. Hitos del ciclo de vida
Muchos empleados intentan llevarse consigo los datos cuando abandonan una empresa (voluntariamente o no). El acceso a los archivos por parte de un empleado que se marcha o ha sido despedido puede indicar un riesgo de información privilegiada.
3. Extensiones de archivo engañosas
Muchas soluciones de protección de datos se centran en bloquear la filtración de determinados tipos de archivos basándose en sus extensiones (.docx, .pdf, etc.). Los intentos de transferencia de archivos cuyo contenido no coincide con sus extensiones es probablemente un riesgo interno.
4. Uso de dominios no fiables
Las transferencias de datos dentro de la red y los dominios de una empresa son probablemente legítimas y necesarias para las operaciones normales. Sin embargo, las transferencias a dominios externos y no aprobados -como una unidad personal en la nube- pueden ser señal de un riesgo interno.
Estos son algunos ejemplos de IRI que una empresa puede utilizar para la detección de riesgos internos.
Suscríbase a Cyber Resilience Insights para leer más artículos como éste
Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada
Inscríbase con éxito
Gracias por inscribirse para recibir actualizaciones de nuestro blog
¡Estaremos en contacto!