Mimecast Logo
Obtenga una cotización

    Detección de amenazas internas - ¿Qué es y cómo prevenirlas?

    Descubra los diferentes perfiles de amenazas internas que una tecnología superior de detección de amenazas debe ser capaz de identificar y remediar.
    Programe una demostración
    Detección de amenazas internas
    Programe una demostración
    Descripción general

    La amenaza de la información privilegiada explicada

    Una amenaza interna es alguien con acceso legítimo a los sistemas y datos de la empresa que, consciente o inconscientemente, representa una amenaza para una posible violación de datos. Dado que puede haber varias personas con distintos niveles de acceso a sus datos en un momento dado -incluidos empleados, consultores y proveedores-, detectar las amenazas internas tiene sus dificultades. De hecho, el 27% de los CISO afirman que la amenaza interna es el tipo de riesgo más difícil de detectar, debido al gran número de posibles amenazas y de personas responsables de dicho riesgo.

    Identifique las tres amenazas internas más comunes

    • Empleados que se marchan: La mayoría de los empleados se llevan datos consigo cuando se marchan a su próximo trabajo. Nos aseguramos de que sus archivos más valiosos permanezcan con usted.
    • Reincidentes: Detrás de cada evento de riesgo de datos hay un empleado que probablemente no siguió las normas. Detenga la exfiltración de datos de los usuarios que siguen infringiendo las políticas de seguridad.
    • Empleados de alto riesgo: Proteja los datos de forma programática supervisando los riesgos de huida y otros tipos de empleados de alto riesgo.

     

    GettyImages-1209183571-1200px.jpg

     

    Métodos para detectar las amenazas internas

    Cualquier empleado, contratista o socio que tenga acceso a datos sensibles podría ser un riesgo potencial, lo que hace que las amenazas internas sean notoriamente difíciles de detectar. Supervisar el movimiento de datos de su empresa, instituir políticas de seguridad claras e implementar la formación de los empleados son estrategias inteligentes que se pueden poner en marcha para prevenir posibles ataques antes de que se produzcan.

    Supervise todos los datos y su movimiento

    El movimiento inusual de archivos es una bandera roja común que podría indicar una amenaza interna. Al escanear constantemente sus sistemas, puede establecer un patrón de referencia del movimiento de archivos y obtener el contexto necesario para saber si es arriesgado. Las actividades fuera de ese patrón normal de comportamiento podrían indicar una amenaza interna y deberían investigarse por orden de prioridad:

    • Archivo exfiltrado: Extraer un archivo de su ubicación original mediante un archivo zip, un USB o incluso AirDrop puede significar que los datos acaben en las manos equivocadas.
    • Destino de los archivos: Asegúrese de que los archivos de la empresa se mueven a destinos de confianza en lugar de a aplicaciones en la nube personales o no autorizadas.
    • Fuente del archivo: Examinar la fuente puede darle pistas sobre su peligro potencial. Las fuentes de archivos sospechosos, como los archivos adjuntos enviados a través de ProtonMail, podrían ser malware o ransomware disfrazados.
    • Características y comportamientos de los usuarios: Investigue todos los indicios potenciales de actividades sospechosas de información privilegiada. Vigile los picos excesivos en la descarga de datos, el movimiento de datos a horas inusuales del día o la adquisición de acceso privilegiado a datos de gran valor.

    Investigue el comportamiento inusual de los datos

    No basta con detectar los indicios de un posible ataque interno. Es importante realizar un seguimiento con una investigación sólida. No todos los comportamientos inusuales serán problemáticos, pero deben investigarse a pesar de ello. Para que esta táctica sea eficaz, Mimecast cree que es importante añadir indicadores contextuales que puedan priorizarse para proteger eficazmente los datos de los empleados con más probabilidades de filtrar o robar archivos. Entonces, cuando haya un comportamiento inusual de los datos por parte de un empleado, los equipos de seguridad podrán interceptarlos e investigarlos. Algunos comportamientos que pueden requerir una investigación son

    • Creación de nuevas cuentas de usuario
    • Copiar datos que no estén relacionados con su trabajo
    • Utilizar aplicaciones no autorizadas
    • Renombrar archivos para ocultar la exfiltración
    • Aumentar los permisos de acceso

    Una detección superior de las amenazas internas requiere nuevas soluciones

    La detección de amenazas internas se está convirtiendo rápidamente en una prioridad crítica para los departamentos de TI. Aunque la mayoría de las organizaciones cuentan con defensas eficaces contra el malware y los virus, y algunas disponen de soluciones para la protección contra amenazas avanzadas, pocas empresas disponen hoy en día de herramientas para detener una amenaza interna.

    Una tecnología superior de detección de amenazas internas debe ser capaz de identificar y remediar tres perfiles diferentes de amenazas internas:

    • El infiltrado descuidado. En el caso de los empleados que ignoran la política de seguridad o no comprenden los peligros de amenazas como los archivos adjuntos maliciosos en el correo electrónico, las soluciones de detección de amenazas internas deben impedir acciones (como compartir propiedad intelectual a través de un correo electrónico no seguro) que podrían poner en peligro a la organización.
    • El infiltrado comprometido. El éxito de ataques como las amenazas persistentes avanzadas y el fraude por suplantación de identidad suele basarse en la capacidad del atacante para hacerse con el control de la cuenta de correo electrónico de un usuario desprevenido a través de malware, correos electrónicos de phishing o ingeniería social. La detección de amenazas internas debe ofrecer herramientas para identificar y remediar estas amenazas antes de que los usuarios puedan verse comprometidos.
    • El infiltrado malicioso. En algunos casos, los empleados de una organización filtran datos a propósito, roban información o intentan dañar a la organización. Para prevenir estos ataques, la detección de amenazas internas debe ser capaz de supervisar automáticamente el tráfico de correo electrónico interno y alertar a los administradores de actividades sospechosas.

    Cómo responder a las amenazas internas

    Podría decirse que el paso más importante tras la detección de amenazas internas es la estrategia de respuesta que TI y la seguridad tienen en marcha. Aunque bloquear la filtración de datos por adelantado puede ser una "solución rápida" a una filtración de datos en curso, para reducir los incidentes de amenazas internas a lo largo del tiempo, tendrá que desarrollar y ejecutar un plan de respuesta integral.

    • Establezca expectativas: Comunique claramente las políticas de seguridad a sus usuarios. Si se pone de acuerdo sobre lo que es y lo que no es aceptable a la hora de compartir datos, podrá responsabilizar a los empleados cuando se incumplan estas normas establecidas.
    • Cambiar el comportamiento: La retroalimentación en tiempo real y los vídeos de formación justo a tiempo son cruciales cuando se trabaja para mejorar los hábitos de seguridad de un usuario. Estas prácticas responsabilizan a los empleados y les ayudan a seguir las mejores prácticas, lo que en última instancia cambia el comportamiento con el tiempo.
    • Contener las amenazas: Incluso con formación y responsabilizando a los empleados, los riesgos de datos de amenazas internas son inevitables. Cuando ocurren, la clave es minimizar los daños revocando o reduciendo el acceso a nivel de usuario si es necesario. Entonces podrá investigar y determinar el mejor curso de acción para remediarlo.
    • Bloquee la actividad de sus usuarios de mayor riesgo: Evitar que sus usuarios más arriesgados compartan datos con destinos no autorizados es un paso crucial en su plan de respuesta. El bloqueo de ciertas actividades de esos usuarios permite que el resto de su organización trabaje en colaboración sin obstaculizar la productividad, todo ello sabiendo que sus datos están a salvo de quienes pueden causar daños.

    Responder a las amenazas internas no es tarea fácil . Mantenerse alerta con las herramientas, procesos y programas adecuados puede mantener a su empresa preparada cuando se produzcan amenazas internas.

    Detección de amenazas internas con Mimecast

    Mimecast ofrece detección de amenazas internas como parte de sus servicios integrales de gestión del correo electrónico para la seguridad, el archivo y la continuidad. Construido sobre una plataforma en la nube altamente escalable, el programa de amenazas internas de Mimecast está disponible como parte de un servicio de suscripción totalmente integrado que reduce el riesgo y la complejidad de mantener el correo electrónico seguro para las empresas.

    Mimecast Internal Email Protect, que forma parte del conjunto de servicios Targeted Threat Protection de Mimecast, es un servicio basado en la nube que supervisa el correo electrónico generado internamente para detectar y remediar las amenazas a la seguridad transmitidas por el correo electrónico y originadas dentro de la organización. La tecnología de detección de amenazas internas de Mimecast cubre tanto el correo electrónico enviado de un usuario interno a otro como el enviado de usuarios internos a dominios de correo electrónico externos.

    Mimecast analiza todo el correo electrónico, los archivos adjuntos y las direcciones URL para identificar posibles programas y enlaces maliciosos, y el filtrado de contenidos ayuda a evitar filtraciones y robos comparando el contenido del correo electrónico generado internamente con las políticas de Prevención de Fugas de Datos.

     

    Ventajas del servicio de detección de amenazas internas de Mimecast

    La tecnología de detección de amenazas internas de Mimecast le permite:

    • Proteger a la organización contra una amplia variedad de amenazas internas.
    • Identifique el movimiento lateral de ataques a través del correo electrónico de un usuario interno a otro.
    • Identifique y elimine automáticamente los correos electrónicos que contengan amenazas.
    • Minimice el riesgo de una brecha o de que el malware se propague por la organización.
    • Impida que el correo electrónico que contiene información sensible, propiedad intelectual o datos financieros privilegiados salga de la organización sin autorización.
    • Gestione la detección de amenazas internas desde una única consola administrativa para la configuración y la elaboración de informes.

    Obtenga más información sobre la detección de amenazas internas con Mimecast y sobre cómo recuperar elementos eliminados con los servicios de archivo de Mimecast.

    Recursos relacionados con la detección de amenazas internas

    Resources_13.jpg
    Threat Intelligence

    2025 Global Threat Intelligence Report key findings

    Infographic
    Threat Intel Webinar Event Image.jpg
    Threat Intelligence

    APAC Threat Intelligence: Tis the Season for Cyber Vigilance

    Webinar
    Threat Intel Webinar Event Image.jpg
    Threat Intelligence

    Threat Intelligence: Mimecast Threat Intel Report

    Webinar
    Back to Top