El riesgo por amenazas internas es mayor que nunca para las organizaciones en todo el mundo. El número de incidentes de este tipo ha subido un 47% respecto al año anterior. Y, además de dañinos, son también prevalentes. El coste global de los ataques internos alcanzó los 11,45 millones de dólares el año pasado, frente a los 8,75 millones de dólares de 2018. Para cada una de las organizaciones que componen esa estadística, las implicaciones financieras no son menos preocupantes. Suponen entre 307.111 dólares en el caso de un incidente por negligencia y más de 870.000 dólares cuando se trata de un robo de credenciales.
Y en el futuro próximo, con una gran parte de los profesionales trabajando fuera de la oficina, estas cifras solo pueden aumentar. La migración masiva a formas de trabajo en remoto y el aumento de la dependencia de sistemas cloud, junto con otros factores como la presión financiera, la inseguridad laboral, situaciones poco habituales y la ansiedad general provocada por una pandemia global han creado la cibertormenta perfecta. De hecho, más de un tercio de las organizaciones (34%) han reportado un aumento de las amenazas internas desde el mes de marzo.
Adaptación a un nuevo panorama
Cualquier ciberdefensa robusta debe ser adaptativa, y nada requiere mayor adaptación que una pandemia mundial. Pero aunque reforzar las defensas para hacer frente al aumento de la superficie de ataque pueda ser algo habitual, responder a un cambio masivo de comportamientos y mentalidad no lo es.
Los empleados están trabajando sin las normas y formalidades del entorno de la oficina, y muchos todavía no están acostumbrados a ello. Pueden estar más inquietos, distraídos por tareas rutinarias y por la vida familiar, y ser más propensos a cometer errores básicos.
El entorno doméstico, más relajado, puede prestarse también a que se bordeen o se salten las normas de seguridad habituales de la oficina. ¿Qué significa esto? Utilizar equipos personales por comodidad, usar los equipos corporativos para actividades personales, anotar las contraseñas o no iniciar y cerrar la sesión de forma adecuada en los sistemas corporativos.
A esto se suma también la sempiterna amenaza del phishing. Con la superposición de los mundos personal y corporativo, los usuarios pueden tender más a hacer clic en un enlace sospechoso en casa que en un entorno más formal de oficina. Y los cibercriminales son totalmente conscientes de ello.
Desde el comienzo de la pandemia, hemos detectado cientos de ataques de phishing relacionados con el COVID-19, en los que se pide a las víctimas que pinchen en enlaces, descarguen documentos adjuntos o compartan sus credenciales. Y basta con un solo empleado distraído para poner en riesgo la seguridad de toda la organización.
Además de controlar aquellos comportamientos con un riesgo potencialmente alto, los equipos de seguridad también deben vigilar otras circunstancias que en algún momento serían inusuales, como el inicio de sesión a horas no habituales para que los empleados puedan ocuparse de sus hijos. El control habitual de los logs ha cambiado completamente de un día para otro. Adecuarse a este cambio implica tener buen ojo y una estrategia potente capaz de defenderse de dentro hacia fuera.
El lado siniestro de la psicología de la pandemia
Desafortunadamente, el potencial aumento de errores no es el único eslabón débil para los cibercriminales. La presión psicológica que causa el confinamiento puede llevar a una amenaza más siniestra, la del usuario interno malintencionado.
Aunque este tipo de usuarios son menos comunes, pueden ser más dañinos. Muchos utilizan el conocimiento que tienen para evadir las defensas internas y borrar activamente su rastro, haciendo que sea mucho más difícil detectarlos y contener la amenaza. De media, un incidente provocado por este tipo de usuarios cuesta 755.760 dólares, más del doble que una negligencia.
El riesgo de usuarios internos malintencionados no es nuevo. Pero con el aumento de empleados despidos, de puestos redundantes y de empleados con necesidades financieras, las organizaciones deben ponerse en alerta roja. Incluso los usuarios con menos conocimientos tecnológicos son conscientes de las recompensas por filtrar datos e información sensible. Y es fácil tentar a alguien a tomar esa decisión.
Lo mismo aplica a empleados con quejas sobre la organización. Con el salto a los medios de historias de filtrado de datos, todo el mundo conoce las devastadoras consecuencias para las compañías involucradas, desde sanciones por parte de los reguladores a daños a la reputación e importantes pérdidas económicas. De repente, un empleado descontento puede encontrarse con una forma de revancha tremendamente simple y eficaz.
Construir una defensa de dentro a fuera
Descubrir el potencial de las amenazas internas nunca es fácil. Detectarlos fuera del entorno de la oficina donde hay menos control o presión para cumplir con los estándares de seguridad es aún más difícil. La única defensa efectiva es una estrategia flexible, robusta y de múltiples capas que combine personas, procesos y tecnología.
Las amenazas internas son únicas, en el sentido de que cuentan por defecto con acceso legítimo y fiable a los sistemas y datos de la organización para hacer su trabajo. Y un vector de ataque único requiere una estrategia de defensa específica. Aunque no es posible bloquear el acceso a quienes necesitan trabajar dentro de la red corporativa, se puede asegurar un control estricto de los accesos y otorgarlos sólo en función de las necesidades.
Para ello, lo primero es implementar una solución integral de administración de acceso privilegiado (PAM) para monitorizar la actividad de la red, limitar el acceso a datos confidenciales y prohibir la transferencia de estos datos fuera de los sistemas de la compañía.
Después, establecer un sistema de confianza cero entre tecnología y empleados. Puede haber una buena razón para solicitar acceso o para iniciar sesión fuera de horario, pero las buenas intenciones no se pueden dar por supuestas. Los controles deben ser herméticos, marcar y analizar cada registro en busca de signos de negligencia o juego sucio.
Luego, añadir a todo esto procesos claros y completos que gestionen el acceso al sistema y a la red, los privilegios de usuario, las aplicaciones no autorizadas, el almacenamiento externo o la protección de datos, entre otros.
La pandemia hace que el riesgo de ataques informáticos sea mayor que nunca
Finalmente, la defensa contra amenazas internas no es solo una disciplina técnica. Como el mayor factor de riesgo en este caso son las personas, deben estar en el centro de la estrategia de defensa. Para ello, hay que crear una cultura de seguridad a través de la educación continua sobre las amenazas internas. Todos los miembros de la organización deben saber cómo detectar y contener una amenaza potencial y cómo su propio comportamiento puede poner en riesgo a la organización, ya sea de forma intencionada o no.
Esta formación debe ser exhaustiva y adaptada al clima actual. Si bien el entorno de trabajo actual puede parecer más relajado, aún es necesario aplicar las mejores prácticas de seguridad, y tal vez ahora más que nunca.
