Los programas estándar de ciberseguridad a menudo no contemplan una parte significativa del riesgo, el que generamos los empleados. Las herramientas actuales son instrumentos insuficientes. Para obtener mejores resultados es necesario un nuevo enfoque.
De la amenaza interna (insider) somos parte todos: los propios empleados de la empresa, pero también el personal subcontratado y proveedores. El riesgo insider es uno de los mayores problemas sin resolver satisfactoriamente en materia de ciberseguridad.
La amenaza está presente en la mayoría (86% Instituto Ponemon) de los incidentes reportados en todos los estudios recientes (86%). Las empresas son cada vez más conscientes del problema y cada vez dedican más los recursos de ejecutivos y la necesaria atención de la dirección para resolverlo. Sin embargo, la mayoría de los programas de prevención de amenaza interna resultan ser poco ambiciosos. Entre los fallos más habituales encontramos:
- Centrarse exclusivamente en el comportamiento mediante monitorización y análisis en el ámbito técnico, como son las soluciones basadas en alertas de variaciones sobre “baselines”.
- No considerar seriamente las normas culturales.
- Desconocer completamente la situación real de su mayor activo, las personas.
Las compañías líderes están implementando un enfoque de microsegmentación que puede abordar problemas potenciales con mayor precisión, están adoptando un profundo cambio cultural y un análisis de carácter predictivo.
Estos nuevos enfoques predicen y previenen, produciendo además resultados más precisos que la pura monitorización tradicional, en definitiva ayudan a las compañías a navegar por el complicado negocio de salvaguardar los activos mientras disminuyen los riesgos y fortalecen a sus empleados.
Conociendo mejor la amenaza
Las organizaciones a veces sufren para definir claramente el concepto de amenaza interna. En este artículo, usamos el término para referirnos a los riesgos cibernéticos planteados a una organización debido al comportamiento de sus empleados; a tal fín, el personal subcontratado también es considerado, pues notables incidentes insider en nuestra memoria reciente han surgido de terceros.
Existen diferentes tipos de amenazas internas. La lista es larga y todas las tipologías, o mejor siguiendo la jerga del sector, los Grupos de Riesgo Insider (GRI), pueden llevar a un costoso incidente. Algunos GRI pueden ser más o menos llamativos para el lego, como son los relacionados con el acoso, la violencia en el lugar de trabajo o simplemente la mala conducta. En otros casos los GRI son más evidentes, como los usuarios sobrecargados y el estrés en el puesto de trabajo. Afortunadamente está profundamente aceptado el caso de los empleados con carencias en ciber-concienciación. Pero siempre se deben tener en cuenta otros GRI como aquellos susceptibles de elicitación o directamente situaciones de insatisfacción. [Nota: el presente artículo corresponde a una serie que Kymatio está preparando sobre las mejores prácticas para prevención de riesgo insider y es parte de la inicativa para dar visibilidad y concienciar sobre los principales GRI].
Dos tipos de trabajadores que pueden crear ciberriesgo:
Los insiders malintencionados (GRI Malicioso) son aquellos que buscan, a propósito, beneficiarse a costa de la empresa o directamente dañar a la organización. Pueden favorecer el robo o directamente robar valiosos datos, cometer fraude para obtener ganancias financieras, exponer públicamente información confidencial para atraer atención o sabotear sistemas de TI debido a potenciales desacuerdos. La mayoría de las organizaciones enfocan su atención en personas que utilizan información privilegiada, utilizando software de monitorización de la actividad y pequeños equipos de investigación.
Los miembros del GRI negligencia son propensos a errores y no pretenden dañar intencionalmente a la organización, pero la exponen a riesgos por sus errores o descuidos. Esto puede suceder de dos maneras. Primero, un empleado puede crear descuidadamente una vulnerabilidad, que puede ser explotada directamente por los atacantes (por ejemplo, una mala configuración de servidores en la nube, o alguien puede perder un disco duro con datos confidenciales). Los empleados también pueden hacerse personalmente vulnerables a ataques y cooperar de forma inadvertida. Por ejemplo, al compartir demasiada información personal en línea, los empleados pueden convertirse en blancos fáciles para los ataques de phishing, en los que los atacantes atacan la cuenta de un usuario y la utilizan para llevar a cabo más actividades dañinas.
Brevemente, las amenazas internas surgen de dos tipos de empleados: aquellos que son negligentes y aquellos con intenciones maliciosas. Los insiders pertenecientes al GRI negligencia son fáciles de entender para las empresas y sus equipos de mitigación de riesgos siempre que cuenten con las herramientas adecuadas. A través de una formación deficiente, una moral confusa o un descuido puro, los trabajadores, que generalmente son de confianza, pueden exponer a la empresa a riesgos externos. En estos casos la calve es trabajar co lo propios empleados para fortalecer su postura y minimizar los riesgos.
Sin embargo, las organizaciones a menudo malinterpretan a los insiders maliciosos de dos maneras. En primer lugar, los insiders maliciosos no siempre buscan dañar a la organización. A menudo, están motivados por el interés propio. Por ejemplo, un empleado puede usar la información del cliente para cometer fraude o robo de identidad, pero el motivo subyacente es el auto enriquecimiento en lugar de dañar al empleador. En otros casos, los empleados pueden estar buscando atención o como en el caso del GRI activismo, tener un «complejo de héroes» que los lleve a divulgar información confidencial. Incluso pueden pensar que están actuando por el bien del público, pero en realidad están actuando para su propio beneficio.
Entender el motivo es fundamental para ayudar a las empresas a modelar sus estrategias de mitigación.
En segundo lugar, los insiders pertenecientes a cualquier tipo de GRI rara vez se desarrollan de la noche a la mañana o se unen a la compañía con la intención de hacerle daño. En los ejemplos más recientes de incidentes insiders graves, los empleados normales se convirtieron en insiders gradualmente, con meses o años de señales de advertencia que conducen a la culminación de un incidente interno.
Es necesario activar medidas que recojan dichas señales y ayuden a prevenir el incidente.
Las dimensiones del problema insider
En un universo de prioridades de ciberseguridad que compiten entre sí, donde las necesidades siempre parecen superar a los presupuestos, puede ser tentador subinvertir en la lucha contra la amenaza insider. En otros artículos hemos analizado el riesgo percibido frente al riesgo real en lo relativo a esta tentación. Puede darse el caso de que el riesgo no se comprenda bien y la solución parezca “menos tangible” que en otras áreas ciber. Los ejecutivos con larga trayectoria conocen perfectamente el historial de casos de incidentes insider que ha sufrido la empresa, sin embargo los nuevos ejecutivos se preguntan: ¿Es esto realmente un tema importante? ¿Cuánto riesgo representa?
La necesaria intervención de insiders como elemento central de los incidentes de ciberseguridad está sobradamente demostrada. El 60 por ciento de los incidentes tiene un componente insider sustancial. Además, no fueron en su mayoría comportamientos maliciosos, y desafortunadamente este es sin embargo el enfoque conceptual que tienen muchos de los esfuerzos de mitigación de tantas y tantas compañías. La negligencia y la colaboración inintencionada representan en todos los análisis porcentajes superiores al 50 por ciento de las infracciones relacionadas con información privilegiada, lo que hace que estos problemas sean aún más importantes.
Además de ser frecuentes, las violaciones de seguridad por amenazas insider generalmente culminan en daños sustanciales. Hemos visto incidentes de alto coste en los que la información del cliente fue extraída en los últimos años por diferentes tipos de insiders en servicios financieros, atención médica, retail, tecnológicas y telecomunicaciones o gobiernos entre otras entidades. Algunas empresas perdieron cientos de millones.
Principales afectados por la amenaza insider |
Servicios FinancierosTelecomunicacionesServicios TecnológicosServicios SanitariosGobiernos |
Problemática de las soluciones actuales
Para combatir el riesgo insider, la mayoría de las compañías confían en el software de monitorización del comportamiento de los usuarios, generalmente del tipo UEBA (User and Entities Behaviour analytics). Estas aplicaciones, ya sea basadas en reglas o en aprendizaje automático, ingieren cantidades importantes de datos relativos a las acciones de los empleados, especialmente su comportamiento de red, endpoint o el uso que realizan de los sistemas corporativos. En general, intentan identificar divergencias de lo que se considera un comportamiento «normal» para ese empleado. Cuando el software detecta una anomalía, un pequeño equipo especializado investiga la alerta.
Aproximaciones fallidas habituales en la prevención de la amenaza interna
Tipo de enfoque |
Detalle |
Problemáticas principales |
Prevención y monitorización |
|
|
Análisis de variaciones en comportamiento |
|
|
Investigación |
|
|
Interacción interdepartamental |
|
|
Si bien estos métodos pueden hasta cierto punto ser de utilidad, encontramos que generalmente se quedan cortos, por las siguientes razones:
Problemas de los programas estándar de amenaza interna |
1.- En el momento en que se detectan comportamientos negativos, la infracción a menudo ya ha ocurrido previamente. La organización se encuentra en desventaja y no puede desplegar medidas adecuadas. Esto pone a la entidad ante una inadmisible situación de falta de proactividad en la línea de prevención. 2.- La monitorización basada en «divergencia del comportamiento normal» crea una gran cantidad de falsos positivos, desperdiciando gran parte del tiempo del equipo de investigación. 3.- Comportamientos insiders de alto riesgo pueden no ser identificados pues la actividad relacionada puede estar integrada en la línea de base de la actividad «normal». 4.- La recopilación de cantidades masivas de datos sobre el comportamiento de los empleados puede crear problemas de gestión del data lake y un potencial claramente significativo de sensación de abuso frente a otros enfoques colaborativos (Win-Win). |
Más allá de los problemas expuestos, algunas organizaciones llevan este tipo de monitorización al extremo, implementando software de nivel militar y realizando operaciones de inteligencia en toda regla contra sus empleados. Varios casos recientes han resaltado los riesgos de sobrepasar las normas culturales y de privacidad de la organización. Las mejores prácticas y las precauciones necesarias en la industria de la defensa pueden considerarse invasivas en empresas, como por ejemplo un banco o aseguradora, no siendo el mejor enfoque para solucionar el problema de base. Otro caso es el de las infraestructuras críticas como, centrales nucleares, gas, telecomunicaciones etc., que no es objeto del presente artículo.
Finalmente, en la medida en que las compañías persiguen amenazas internas, a menudo se enfocan en la búsqueda de acciones de tipo maliciosas. Si bien la mayoría de las organizaciones han aprendido que la negligencia es un problema fundamental y que los estudios la están posicionando como uno de los más urgentes a abordar. Es habitual ver empresas cuyos esfuerzos de prevención comienzan y terminan con campañas de educación de empleados anti-phishing, siendo estas medidas muy importantes hay que reconocer que abordan únicamente un segmento de la problemática insider real.
Estableciendo la base de un mejor enfoque preventivo
Algunos equipos líderes en ciberseguridad utilizan un enfoque diferente, basado en tres pilares.
Tipo de enfoque | Detalle |
Microsegmentación |
La microsegmentación permite que la organización se acerque a los “puntos calientes” de riesgo y adopte un enfoque específico en lugar de un enfoque general para la monitorización y mitigación de amenazas. |
Cambio Cultural |
El cambio cultural hace que los eventos de riesgo insider sean menos probables, y coloca a la empresa en una posición preventiva en lugar de reactiva. |
Predicción |
La predicción permite a una organización identificar y tomar decisiones de desactivación de riesgos internos mucho antes en el ciclo de vida de la amenaza. |
Microsegmentación
Ante la envergadura del problema, en lugar de recurrir de inmediato a un enfoque de supervisión general, las organizaciones deben adoptar un enfoque mucho más matizado, adaptado a sus activos de información, identificando riesgo, impacto y poniendo foco en la fuerza laboral. La clave de este enfoque es la microsegmentación, que identifica grupos particulares de empleados que dependiendo de su función en la empresa, y su problemática particular, sean susceptibles de hacer un daño de significativo a máximo. Tras la segmentación se desarrollan intervenciones enfocadas específicas para esos grupos con objeto de abordar la mitigación de los riesgos asociados.
Para realizar la microsegmentación, el primer paso es comprender la realidad de la empresa, sus capacidades y dónde residen los activos e información más importante a proteger. A continuación, las empresas pueden usar registros de gestión de acceso e identidad (IAM), información organizativa y de recursos humanos (RRHH), para determinar qué grupos y empleados individuales tienen acceso a los activos de mayor valor y donde el impacto pueda ser máximo. Servicios de identificación del riesgo como Kymatio pueden facilitar notablemente esta evaluación inicial.
Estos grupos forman los GRIs que son más importantes para el programa de amenaza. Para cada GRI, la empresa puede determinar qué tipos de amenazas internas tienen más probabilidades de causar daños y puede crear estrategias diferenciadas de monitorización y mitigación de incidentes internos.
Imaginemos que una compañía farmacéutica quiere proteger la propiedad intelectual creada en el desarrollo de nuevos medicamentos. Un análisis de los datos de IAM y RRHH revela que determinadas partes específicas de su desarrollo de productos y sus unidades de I+D+i representan el mayor riesgo.
Kymatio puede ser clave en la determinación de los activos según impacto y riesgo insider. |
La compañía sabe que el sabotaje de este tipo de propiedad intelectual es relativamente poco frecuente, pero existente, como por ejemplo en el caso de científicos que puedan llevarse con ellos propiedad intelectual cuando son contratados por la competencia. Por tanto la compañía se centra en monitorizar y diseñar estrategias para identificar riesgos del GRI desvinculación o de personal en el GRI insatisfacción, como pueden ser aquellas personas que perdieron promociones, los que por su situación sientan un escasa satisfacción laboral y los que se perciben como miembros del colectivo de baja remuneración en relación con sus compañeros. Ahora la compañía está preparada para diseñar intervenciones, como pueden ser un completo array de programas de retención, soluciones específicamente diseñadas para los riesgos identificados.
La microsegmentación ofrece tres beneficios clave.
Tipo de enfoque | Detalle |
Comprensión del riesgo |
Crea una comprensión más clara del riesgo. No todos los eventos de amenazas internas son iguales. |
Acciones de remediación |
Permite a las organizaciones identificar un conjunto claro de acciones de remediación, adaptadas a un grupo particular de empleados. Esto les ayuda a pasar de reaccionar a eventos de amenazas internas a prevenirlos. |
Monitorización de individuos y colectivos |
Finalmente, el análisis permite a la organización llevar la monitorización individuos a un nuevo nivel, permitiendo la monitorización de grupos en lugar de utilizando métricas como el desgaste de los empleados y la satisfacción de la fuerza laboral de un equipo en lugar de comportamientos individuales. Lo que proporciona importantes beneficios en el ámbito de la privacidad. |
Cambio cultural
Si bien muchos programas de amenaza insider se enfocan en detectar y responder a comportamientos negativos, es de vital importancia abordar de manera directa y asertiva los problemas culturales que generan otros comportamientos de riesgo, como aquellos destacables del GRI negligencia.
Para combatir cualquiera de los riesgos que subyacen en el GRI negligencia, las empresas a menudo realizan rudimentarias capacitaciones de ciberseguridad, como por ejemplo pruebas de phishing. Con demasiada frecuencia, estas formaciones se enfocan únicamente en el comportamiento, educando a los empleados sobre los procedimientos cibernéticos adecuados, y se dejan fuera de la ecuación la parte de las actitudes y creencias por defecto de los empleados. Las intervenciones dirigidas (como las comunicaciones periódicas sobre el impacto cibernético) ayudan a los empleados a ver y sentir la importancia de la «ciber-higiene», y el refuerzo intencional de los altos ejecutivos es fundamental para lograr la participación y concienciación de la fuerza laboral. Las organizaciones mejor posicionadas miden rigurosamente los comportamientos y las actitudes y desarrollan planes de cambio integrales para vencer la ciber-negligencia, con objetivos y responsabilidades claras dentro de la organización.
Abordar los drivers del comportamiento de riesgo es una tarea aún más de detalle. Los drivers varían para cada organización y, a menudo, para cada microsegmento. Por ejemplo, pueden incluir estrés financiero personal, descontento por la falta de promoción o riesgo de desvinculación debido a una mala gestión. Las organizaciones que abordan con éxito los drivers de conductas de riesgo a menudo comienzan analizando las tendencias de la fuerza laboral (nivel de riesgo insiders, GRI Insatisfacción, GRI Sobrecarga, etc) para determinar los posibles puntos calientes. Luego, se diseñan cambios en el proceso, gobierno, contratación, compensación, etc., específicos para las áreas de riesgo identificadas alineadas con su estrategia de microsegmentación. Por ejemplo, si grupos de empleados tiene una alta prevalencia de «riesgos de desvinculación» debido al descontento con un responsable de área, la organización puede requerir entrenamiento de liderazgo o incluso sacar al responsable del grupo. Si el estrés financiero parece ser un problema, la organización puede optar por proporcionar ayuda gratuita para la planificación financiera o reevaluar su modelo de compensación. Existen múltiples áreas de intervención y mejora para cada una de las tipologías de riesgo insider.
Predicción
Las organizaciones avanzadas están dando un paso más para identificar grupos o individuos en una etapa temprana del ciclo de vida de la amenaza: el análisis predictivo de personas con información privilegiada. Hay que determinar qué personas presentan un riesgo, estudiarlas en profundidad y acompañarlas. Las organizaciones líderes en programa de amenaza interna han identificado los marcadores de estas personas y llevan a cabo la monitorización activa de estos marcadores para personas específicas, en lugar de buscar divergencias sobre “lo normal”. Este análisis puede identificar a un colectivo, grupo o individuo que probablemente represente una amenaza mucho antes de que ocurra el evento; Las empresas pueden entonces tomar medidas para mitigar el riesgo e incluso colaborar con sus empleados en un fortalecimiento adecuado a cada situación. Se trata de un enfoque de prevención predictiva.
Conclusión
La amenaza interna es uno de los mayores problemas de la ciberseguridad, ya que representa una parte masiva de los ataques y daños financieros. Las tecnologías de monitorización tienen su lugar en el ciber-arsenal de las organizaciones, pero su efectividad aumenta significativamente cuando se combina con enfoques más matizados, como microsegmentación, predicción y compromiso cultural directo.
Descubre más sobre prevención del riesgo insider en el site Kymatio.com
Más información sobre el autor:
Actualización Covid-19
Frente a la gravedad de al situación que enfrentan las empresas recomendamos consulta de los siguientes artículos relativos a los retos de ciberseguridad frente a la pandemia producida por el Covid-19.
Ciberseguridad y Riesgo (Inteligencia de riesgo humano)
- Pandemia y Ciberriesgo, incidencia del COVID-19 en ciberseguridad
- Gestión de riesgos en ciberseguridad
- Teletrabajo y riesgo interno
- Los datos y el scoring de riesgo en ciberseguridad
- Mejores prácticas para prevención del ciberriesgo, el factor humano
- Riesgo interno en ciberseguridad, riesgo percibido vs riesgo real
Ciberpsicología (Comprensión y reducción del riesgo en empleados)
Contacta con Kymatio ahora para fortalecer la postura de ciberseguridad de la organización.