5 recomendaciones a considerar para una auditoria de amenazas internas

En el mundo actual de la tecnología de la información, las amenazas internas son una de las razones principales de las infracciones de seguridad. La definición de amenaza interna incluye no solo acciones maliciosas intencionales, sino también accidentes y casos de negligencia. Según el Informe global de costos de amenazas internas de 2022 del Ponemon Institute , «los incidentes de amenazas internas han aumentado un 44 % en los últimos dos años, con costos por incidente de más de un tercio a $ 15,38 millones». Esta tendencia al alza del riesgo de amenazas internas también ha sido observada por diferentes partes interesadas en años anteriores.

Para combatir esta creciente amenaza a la seguridad de la información, las organizaciones deben desarrollar programas de mitigación de amenazas internas. El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) define un programa de amenazas internas como «una colección coordinada de capacidades autorizadas por la organización y utilizadas para disuadir, detectar y mitigar la divulgación no autorizada de información».

Además de desarrollar programas, las organizaciones también deben realizar auditorías periódicas de estos programas, tanto internamente como con la ayuda de terceros. Los enfoques de mitigación de amenazas internas también se examinan durante la mayoría de las auditorías de cumplimiento. La auditoría eficiente de sus políticas de seguridad para la evaluación y gestión de riesgos es fundamental para el éxito comercial y le permite encontrar vulnerabilidades en su programa de seguridad y estrategias de mitigación.

La guía de mitigación de amenazas internas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos ( CISA.gov ) publica una guía extensa y de libre acceso sobre amenazas internas llamada Guía de Mitigación de Amenazas Internas . La edición más reciente de esta guía se publicó hace menos de 2 años y contiene una amplia gama de información y sugerencias que ayudan a todas las organizaciones, sin importar el tamaño o la industria, a crear un programa exitoso de mitigación de amenazas internas.

La guía CISA incluye recomendaciones de medidas a emplear en su programa de mitigación. Vale la pena señalar que las soluciones de prevención de pérdida de datos (DLP) se enumeran como la medida más común número 2 justo después de la capacitación de concientización del usuario. Por lo tanto, la prevención de pérdida de datos puede percibirse como la tecnología básica para ayudar a las organizaciones a evitar incidentes de seguridad como consecuencia de la actividad interna.

Aquí hay 5 problemas importantes mencionados en la Guía de mitigación de amenazas internas que debe considerar para una auditoría interna de amenazas internas para verificar qué tan bien funciona su programa de mitigación de amenazas internas en la práctica, principalmente desde el punto de vista de la prevención de pérdida de datos.

1. Las buenas prácticas no son suficientes

Muchos programas de amenazas internas se centran en la concienciación sobre la seguridad, la educación, la supervisión de las condiciones laborales y otras tareas que recaen principalmente en los departamentos de recursos humanos. Es una muy buena suposición que si los empleados están bien capacitados y bien tratados, el riesgo de posibles amenazas internas, ya sea accidental, intencional o causada por negligencia, se reduce en gran medida.

Sin embargo, aunque estas buenas prácticas deberían formar la base del programa de amenazas internas, no son suficientes para eliminar todas las amenazas potenciales. Incluso el empleado mejor capacitado comete errores. Incluso si todo su personal está muy bien pagado y bien tratado, pueden verse tentados por una gran suma a robar secretos comerciales y venderlos a la competencia, como en el caso AMSC/Sinovel de 2011 .

Su programa comienza con las mejores prácticas, pero es una buena idea continuar con más. Citando la guía CISA, debería “emplear prácticas y sistemas que limiten o controlen el acceso a través de las funciones organizacionales. Esas prácticas y sistemas, a su vez, limitan la cantidad de daño que puede causar un infiltrado, ya sea que el acto sea intencional o no». Como parte de su auditoría interna, debe asegurarse de que todos los elementos del programa sean igualmente efectivos.

2. La prevención requiere un seguimiento cuidadoso

No todos los empleados presentan el riesgo de convertirse en infiltrados malintencionados. Según PricewaterhouseCoopers , solo el 10% de los empleados exhiben un comportamiento disruptivo. Por lo tanto, uno de los objetivos más importantes para mitigar las amenazas internas es encontrar empleados de alto riesgo y garantizar que sus acciones estén bien monitoreadas.

El comportamiento disruptivo a menudo comienza con actividades maliciosas de bajo riesgo que siguen patrones similares a las de alto riesgo. Por ejemplo, si un empleado tiene tendencia a enviar información potencialmente confidencial a compañeros de trabajo o socios comerciales a través de correo electrónico o plataformas de mensajería, estos intentos al principio pueden tener un impacto potencial bajo. Luego, pueden escalar a problemas importantes que involucran el envío de datos críticos a personas externas, como ex empleados. Debido a esto, los mecanismos empleados como parte del programa de mitigación deben incluir el monitoreo de todos los sistemas de información a los que accedieron personas internas potencialmente maliciosas y pasos para aumentar los controles de acceso para mejorar la protección de aquellos que exhibieron un comportamiento sospechoso.

Por lo tanto, su auditoría de amenazas internas debe observar si existen mecanismos para monitorear de manera efectiva el comportamiento potencialmente disruptivo cuando comienza y si las advertencias proporcionadas por los sistemas automatizados conducen a limitaciones de acceso o a un mayor monitoreo.

3. Se deben tomar medidas antes de la escalada

Como se mencionó anteriormente, la gestión de escalada es un aspecto muy importante de la detección de amenazas internas y la conciencia de amenazas internas. Los internos potencialmente maliciosos que tienen intenciones maliciosas pueden comenzar con acciones que parecen obvias y son fáciles de bloquear. Por ejemplo, pueden intentar copiar la propiedad intelectual de la empresa en un pendrive o enviarla a su propio correo electrónico privado. Sin embargo, si eso falla, es posible que simplemente intenten tomar una foto de la pantalla de su punto final usando su dispositivo móvil privado, y ese tipo de acción es muy difícil de evitar.

Si se activan alarmas en función de la actividad del usuario y los administradores del sistema de seguridad de TI reaccionan ante ellas en tiempo real, dichas escaladas podrían dar lugar a una respuesta eficaz a incidentes con el uso de cámaras y el examen de dispositivos privados al intentar abandonar las instalaciones de la empresa, lo que por supuesto, necesitaría involucrar a la aplicación de la ley. Sin embargo, para que tales reacciones sean posibles, se necesita una detección temprana y un sistema de alarma efectivo que no esté plagado de falsos positivos.

4. La identificación de datos confidenciales debe automatizarse

Las actividades internas maliciosas pueden tomar diferentes formas. La guía CISA identifica cinco expresiones: violencia, espionaje, robo, sabotaje y cibernético; la última incluye las otras cuatro expresiones pero en el contexto de los sistemas informáticos, no de la seguridad física. Si bien las consecuencias de la violencia y el sabotaje son principalmente ataques internos que provocan interrupciones en la infraestructura crítica, tanto el robo como el espionaje están asociados con el acceso no autorizado a información confidencial.

Cuanto más grande es la organización, más diversa es la información que procesa y más posibilidades hay de que parte de esta información sea información confidencial. Cuantos más sistemas tengan acceso los empleados, mayor será la posibilidad de que tengan acceso a algún tipo de información confidencial. Incluso los programas de identificación de datos más completos pueden omitir accidentalmente algunos datos confidenciales.

Para asegurarse de que las amenazas internas tengan acceso limitado y no puedan robar información confidencial, las soluciones de mitigación deben poder identificar dicha información automáticamente en lugar de depender de actividades manuales. Por lo tanto, su auditoría debe verificar si las medidas empleadas para mitigar la pérdida de datos pueden realizar dicha identificación automática de manera efectiva.

5. Vaya más allá de la prevención de pérdida de datos

Si bien la guía CISA ha enumerado las soluciones de prevención de pérdida de datos como la herramienta tecnológica más importante para ayudar a mitigar las amenazas internas a los sistemas de TI, también se recomiendan varias otras tecnologías. Incluyen análisis de comportamiento de usuarios, monitoreo y vigilancia de empleados, gestión de incidentes y eventos de seguridad (SIEM), gestión de respuesta a incidentes (IRM), intercambio de inteligencia de amenazas, gestión de acceso privilegiado (PAM) e inteligencia de tráfico de red.

Su auditoría de amenazas internas debe ver si tales medidas también están en uso y, de no ser así, si las áreas cubiertas por estas soluciones, como el acceso a la red y la conectividad, la autenticación y los usuarios privilegiados están protegidos con el uso de diferentes herramientas, sistemas o procedimientos. La integridad es uno de los aspectos más importantes de un programa de mitigación simplemente porque todo lo que se necesita es una pequeña fuga para causar estragos en el negocio.