Las amenazas internas, también conocidas como insider threat, se presentan cuando un individuo con estrechos vínculos a una entidad y con acceso autorizado realiza acciones que comprometen la seguridad de la información o sistemas cruciales de la organización, ya sea de manera voluntaria o involuntaria. Esta figura no necesariamente es un empleado; incluso proveedores, contratistas y socios externos pueden representar amenazas.
¿Qué se entiende por un agente interno o infiltrado?
Un individuo que actualmente trabaja o ha trabajado anteriormente como empleado, contratista o socio comercial y ha tenido acceso a la red, sistemas o datos de la entidad.
Definición de amenazas internas
Cualquier persona que trabaje para una organización puede suponer una amenaza, ya que existe riesgo de que lleve a cabo acciones que deriven en un incidente de seguridad. Estos incidentes ocurren cuando una persona (que en esta situación se denomina insider), ya sea intencional o accidentalmente, abusa de sus derechos de acceso y menoscaba la confidencialidad, integridad o disponibilidad de la información o sistemas esenciales de una entidad.
Por tanto, el activo más valioso también constituye la principal fuente de riesgo. Los incidentes internos suponen un gran porcentaje de los incidentes de seguridad que se producen en las organizaciones. Sin embargo, la mayoría de las soluciones de seguridad se concentran en analizar equipos informáticos, redes y datos del sistema.
Las amenazas pueden originarse en cualquier nivel y por parte de cualquier individuo con acceso a información confidencial. Sin embargo, incluso aquellos que no cuentan con este acceso pueden ser cómplices de un incidente, por ejemplo, facilitando datos sobre empleados que sí manejen información o sistemas sensibles a un ciberdelincuente que esté perpetrando un ataque de ingeniería social.
Una cuarta parte de los incidentes de seguridad involucran la participación de insiders.
¿Quiénes pueden ejercer como insiders?
Empleados
- Cualquier empleado que posea acceso o conocimientos sobre la organización, su información, su estructura, sus empleados, etc.
- Usuarios privilegiados, como miembros del equipo de IT y superusuarios.
- Empleados despedidos o que han dejado la organización voluntariamente.
Actores externos
- Proveedores
- Contratistas
- Socios
Clases de amenazas internas
Se distinguen principalmente dos tipos: las malintencionadas y las accidentales.
Amenazas malintencionadas
Ejemplos de este tipo de amenazas internas empresariales:
- Sabotaje
- Hurto de propiedad intelectual
- Actividades de espionaje
- Fraude (con fines financieros)
Amenazas accidentales
Ejemplos de este tipo de amenazas internas empresariales:
- Error humano
- Toma de decisiones erróneas
- Ataques de phishing
- Infección por malware
- Complicidad involuntaria
- Extracción de credenciales
¿Quiénes son vulnerables ante amenazas internas?
Cualquier organización es susceptible de sufrir un incidente interno, independientemente de su tamaño o sector. Los perfiles que los cibercriminales suelen tener en su punto de mira suelen ser aquellos que manejan información financiera, los que brindan soporte informático o los que trabajan con los sistemas de información.
Cómo prevenir las amenazas internas
Para mitigar y evitar las amenazas internas, tanto las intencionales como las no intencionales, resulta esencial supervisar de manera continua el acceso a la información y sistemas críticos, y tomar medidas inmediatas ante cualquier incidente. Las posibles amenazas son variadas y numerosas: desde la introducción de malware hasta fraudes financieros, manipulación de datos y/o robo de información valiosa. Para abordar estas situaciones, las organizaciones deben adoptar una estrategia que incluya al menos los siguientes componentes clave:
- Sistemas internos de detección y prevención de intrusiones (IDS/IPS)
- Sistemas de prevención de fuga de datos (DLP)
- Procedimiento de gestión de incidentes
- Política de Seguridad de la Información que cubra los aspectos relacionados con posibles amenazas internas.
- Integración de herramientas, incluyendo SIEM y otras soluciones de seguridad, para facilitar la prevención y gestión de incidentes.
- Concienciación en materia de seguridad de la información para todos los empleados y personal externo con acceso a información, cubriendo todos los ámbitos (comunicaciones, gestión de información, gestión de incidentes, cumplimiento normativo, …)
En Kymatio nos dedicamos a simplificar la labor de quienes gestionan el ciberriesgo humano, buscando aumentar la conciencia de los trabajadores. Ofrecemos concienciación adaptada a cada individuo a través de una plataforma basada en principios de neuropsicología y nuestra tecnología única. Con la herramienta completa de Kymatio, se automatizan las tareas de evaluación y capacitación, centrando la atención en la actitud de los empleados para resguardar los recursos valiosos de la empresa.