¿Qué es una amenaza interna?
Las empresas siempre están buscando formas de proteger sus activos de fuentes externas. No es raro ver equipos y mecanismos de seguridad grabados en un edificio. Pero, ¿su empresa está haciendo lo suficiente para protegerse de las amenazas internas?
Las amenazas internas se refieren a un riesgo que existe dentro de la empresa, como empleados, socios, clientes y más. Es importante que las empresas supervisen de cerca sus procesos para mitigar el riesgo de amenazas internas.
Continúe leyendo mientras analizamos las amenazas internas con más detalle y cómo puede mitigarlas.
¿Qué es una amenaza interna?
Como ocurre con muchas cosas, las amenazas en las empresas a menudo provienen de fuentes desprevenidas. Las empresas a menudo enfrentan amenazas a la seguridad provenientes de fuentes internas dentro de la organización, también conocidas como amenazas internas.
Este tipo de incidente suele ocurrir cuando un individuo (que puede ser un empleado actual o anterior) con autorización para acceder a información confidencial o cuentas altamente clasificadas dentro de la red de una organización hace un uso indebido de su acceso.
Las medidas de seguridad convencionales son adecuadas para protegerse de peligros externos, pero tienden a pasar por alto una amenaza interna incluso si está oculta a plena vista.
Cómo las amenazas internas pueden dañar a la empresa
Las amenazas internas pueden causar daños a una empresa a través de diversas consecuencias negativas, incluido el robo de información confidencial, acceso no autorizado y daños a sistemas y equipos.
En esencia, los ataques internos pueden comprometer la seguridad, la integridad y la accesibilidad de la infraestructura y los datos críticos.
Estas consecuencias generalmente están asociadas con personas internas maliciosas. Las consecuencias exactas de personas internas negligentes pueden ser difíciles de precisar o predecir, considerando que no poseen una intención maliciosa de causar daño.
El objetivo principal al abordar a personas internas negligentes es identificar su negligencia antes de que pueda causar un daño grave a la empresa.
Sin embargo, en empresas que no cuentan con procedimientos adecuados de seguridad de la información, una negligencia persistente podría provocar violaciones que duren años y afecten a una amplia variedad de datos.
A continuación se muestran algunos ejemplos de la vida real en los que personas internas, ya sean maliciosas o negligentes, han causado un daño significativo a la empresa.
tesla
Un documento de Elon Musk afirma que un empleado malintencionado causó daños bastante importantes y graves al sistema Tesla al cambiar el código del sistema operativo de fabricación de Tesla y enviar datos confidenciales de Tesla a un tercero.
En 2018, Facebook descubrió que un profesional de seguridad había estado acosando a mujeres utilizando recursos y datos de la empresa.
Coca Cola
Según los investigadores, un empleado de Coca-Cola robó la información personal de unos 8.000 trabajadores y la almacenó en un disco duro externo. Coca-Cola informó a sus empleados y les proporcionó un seguimiento crediticio sin coste durante todo un año cuando tuvieron conocimiento de la filtración de datos.
Banco SunTrust
Un ex empleado de SunTrust comprometió 1,5 millones de registros de clientes, incluidos nombres, direcciones, números de teléfono y tenencias de fondos. La violación puso en peligro al banco y a sus clientes a pesar de que no se vio comprometida ninguna otra información confidencial.
Cómo prevenir amenazas internas
En comparación con los ataques externos, las amenazas internas son mucho más difíciles de detectar o prevenir. A menudo pasan desapercibidos a los ojos de las herramientas de seguridad estándar, como los sistemas de detección de intrusiones (IDS), cortafuegos y programas antimalware.
Esto se debe a que utilizan información legítima para acceder a los datos de la empresa o iniciar sesión en los sistemas.
Una herramienta de detección de amenazas internas, como Wolfeye, puede ayudarle a monitorear a su personal enviando alertas y permitiéndole examinar evidencia digital en busca de signos de comportamiento sospechoso.
Actividad de inicio de sesión sospechosa
Los inicios de sesión de usuarios estándar suelen seguir patrones que se repiten diariamente (o con mayor frecuencia). Cualquier inicio de sesión que no siga el patrón habitual podría ser una señal de que una amenaza interna intenta violar sus sistemas. Esto puede incluir:
- Intentos de iniciar sesión desde dispositivos desconocidos o extraños, o desde ubicaciones distantes
- Intentos de iniciar sesión en momentos inusuales (como fuera de horario, en vacaciones o fines de semana)
- Intentos de iniciar sesión que parecen implicar viajes poco prácticos (por ejemplo, una persona inicia sesión desde Texas y luego, una hora más tarde, usa la misma cuenta para iniciar sesión desde Singapur)
- Una abrumadora cantidad de intentos fallidos de iniciar sesión utilizando los nombres de usuario “admin” o “test”, sin motivo aparente
En términos generales, debes observar las acciones de los usuarios que no parecen seguir la norma y asegurarte de que cualquier actividad inesperada tenga una justificación. Un buen software de seguimiento podrá detectar y alertarle sobre cualquier actividad de inicio de sesión sospechosa.
Descargas inusuales
La mayoría del software de monitoreo como Wolfeye permite a los gerentes ver los archivos descargados o accedidos por sus empleados. Esto puede revelar patrones que puede establecer como base para cada oficina de su empresa. Con base en esta medida de referencia, las empresas pueden identificar cualquier descarga inusual o excesiva.
Observe cómo su equipo de ventas descarga con frecuencia archivos de marketing masivos y cómo su departamento de recursos humanos ahorra rutinariamente una gran cantidad de papeleo de nómina o de empleados.
Estos son patrones normales. Sin embargo, cuando las descargas de datos aumentan inesperadamente y no coinciden con ninguna de las líneas de base, podría ser una señal de una amenaza interna en su red.
Comportamiento extraño de los empleados
Una de las señales más importantes de una amenaza interna es cuando los empleados actúan de manera inusual o extraña. Las soluciones de monitoreo efectivas como Wolfeye pueden brindarle una visión profunda de las actividades y comportamientos de un empleado. A continuación se muestran algunos ejemplos de actividades sospechosas que Wolfeye puede detectar:
Actividad inusual fuera de horario
Si bien todas las empresas valoran a un empleado que va más allá, puede que valga la pena investigar a alguien que de repente ha comenzado a utilizar dispositivos o redes propiedad de la empresa fuera de horario.
Copiar archivos a dispositivos externos
El caso mencionado de Coca-Cola es suficiente para alertar a cualquier empresario. La mayoría de las empresas prohíben a los empleados copiar datos de la empresa en sus dispositivos personales, por lo que resulta muy sospechoso que un empleado lo haga.
Eliminación de datos inexplicables
Entendemos la frustración que conlleva el almacenamiento desordenado. Sin embargo, cuando un empleado elimina una gran cantidad de datos sin ninguna justificación, esto puede resultar sospechoso.
Conclusión
Todas las empresas son vulnerables a las amenazas internas, pero las empresas desprevenidas suelen ser las más afectadas. Asegúrese de estar siempre al tanto de las actividades de sus empleados para evitar riesgos internos.