El costo de las amenazas internas se está disparando: aquí se explica cómo gestionarlas

Hay un problema creciente en el centro de la postura de ciberseguridad empresarial. No se trata de oscuros cibercriminales o hacktivistas respaldados por el Estado. No es la insondable complejidad del entorno de TI moderno. Es el recurso del que ninguna organización puede prescindir: su gente.

Según la un estudio, las infracciones causadas por personas internas cuestan hoy en día una media de 16.2 millones de dólares, un 40% más que hace cuatro años. Sin embargo, las mismas organizaciones sólo están gastando 3.2 millones de dólares al año para solucionar el problema. Algo tiene que cambiar.

¿Qué tan grave es la amenaza interna?

El riesgo interno puede adoptar muchas formas. Ese estudio DTEX los sitúa en tres categorías:

• Personas internas maliciosas, como empleados descontentos que buscan dañar a la empresa para la que trabajan. En el caso de empresas más grandes o estratégicamente importantes, esto puede incluir incluso espías corporativos o actores estatales.
• Individuos que son engañados por estafas de phishing u otras tácticas, lo que permite a los piratas informáticos secuestrar sus cuentas y más.
• Personas internas negligentes que ignoran las advertencias de seguridad y pueden configurar mal los sistemas

Según el informe, es el tercer tipo de riesgo que probablemente costará más a las organizaciones. Pero, en general, las amenazas internas suelen ser más difíciles de detectar que las perpetradas desde fuera de la organización, especialmente si se trata de intenciones maliciosas. Y eso puede significar tiempo, esfuerzo y costos adicionales para remediarlos. De acuerdo a IBM, las violaciones internas maliciosas tardaron un promedio de 308 días en identificarse y contenerse el año pasado. Y cuestan 4.9 millones de dólares en promedio, un 9.6% más que el costo global de todas las filtraciones.

Los casos parecen aparecer en las noticias con una frecuencia cada vez mayor. en febrero surgido que un ex trabajador municipal en el Reino Unido robó las direcciones de correo electrónico de 79,000 residentes con el objetivo de promover un nuevo negocio. Al otro lado del Atlántico, Verizon se vio obligada a notificar a las personas afectadas después de que un informante "manejó de manera inapropiada" un archivo que contenía información sobre más de 63,000 empleados. Y el gobierno tiene acusó a un ex empleado de Google con robo de secretos comerciales.

¿Son más probables las amenazas internas?

Hay un par de razones por las que los CISO deberían preocuparse. El primero es trabajar desde casa. Desde la pandemia, se ha convertido en una característica habitual de muchas organizaciones. Algunos dicen El Reino Unido es ahora la capital europea del trabajo desde casa. Sin embargo, estar fuera de la oficina también puede aumentar el riesgo de negligencia o irregularidades intencionales. Por un lado, puede brindar oportunidades para hacerse con datos confidenciales. Por otro lado, los trabajadores a domicilio a veces dicen que son más probable que corra riesgos o contradecir la política de seguridad, que si estuvieran en la oficina.

El segundo factor de riesgo es la crisis del costo de vida. A medida que aumentan las presiones financieras sobre los empleados, es posible que estén más dispuestos a asumir riesgos para obtener beneficios personales. Una encuesta de febrero de una organización sin fines de lucro para la prevención del fraude Cifas revela que al 54% de las empresas del Reino Unido les preocupa que el personal sea blanco de ciberdelincuentes: por ejemplo, para revelar información confidencial a cambio de dinero en efectivo. Más de dos quintas partes (42%) denuncian específicamente la amenaza interna.

Investigación similar de Bridewell Consulting el año pasado revela que más de un tercio (35%) de los líderes de seguridad de infraestructura nacional crítica (CNI) creen que la crisis económica está obligando a los empleados a robar y sabotear datos. Afirma que el número de incidentes de sabotaje por parte de empleados en las empresas CNI aumentó un 62% año tras año.

Grupos de amenaza como Lapsus$ tienen admitido abiertamente buscan eludir las defensas de seguridad con la ayuda de personal interno de las organizaciones objetivo.

Gestión de la amenaza interna

Jamie Akhtar, director ejecutivo de CyberSmart, dice a ISMS.online que, ya sea para mitigar el riesgo interno malicioso o negligente, las organizaciones deberían adoptar un enfoque similar, combinando pasos prácticos y estrategias centradas en recursos humanos.

“Necesita controlar el acceso dentro de su organización. Lo que queremos decir con esto es que hay que ser estricto en cuanto a qué cuentas de usuario tienen privilegios de administrador y acceso a datos confidenciales”, explica.

“Aplicar la regla general de que nadie debería tener acceso a nada que no necesite para hacer su trabajo. Esto también significa tener un proceso claro para la baja y la eliminación del acceso del personal saliente. Con demasiada frecuencia, las infracciones provienen de personal que no debería tener acceso a información confidencial que la tiene”.

Esto debería ir acompañado de una mejor formación en ciberseguridad para ayudar al personal a detectar y evitar amenazas comunes, añade.

“Sin embargo, todo esto es en vano si los empleados se sienten lo suficientemente subestimados como para querer actuar o simplemente se sienten abrumados. Al fin y al cabo, basta con que un miembro del personal descontento o con exceso de trabajo tome una decisión que podría poner en riesgo toda la empresa”, argumenta Akhtar.

"Las empresas deben implementar salvaguardias prácticas, pero también deben mostrar empatía y apoyo a los empleados".

Tracey Carpenter, gerente de amenazas internas de Cifas, describe cinco pasos para prevenir riesgos internos, aplicables en escenarios de ciberseguridad y fraude. En primer lugar, contar con una sólida política de evaluación previa al empleo. Luego, revise y cierre cualquier brecha en los controles.

"Si un empleado tiene la motivación para cometer una conducta fraudulenta o puede racionalizar su comportamiento deshonesto, podría atacar y explotar estas brechas en los controles", le dice a ISMS.online.

Las organizaciones también deben recordar ser proactivas, no reactivas, afirma. Eso significa no depender del personal o de los clientes para señalar casos de posible conducta deshonesta por parte de los empleados. Recuerde también realizar controles durante todo el ciclo de vida del empleado, tiempo durante el cual el perfil de riesgo de un empleado puede cambiar. Y, por último, trabajar en colaboración compartiendo inteligencia sobre amenazas siempre que sea posible, afirma.

Cómo puede ayudar la ISO 27001

Los estándares de mejores prácticas como ISO 27001 también pueden ayudar. ISO 27001 exige programas de capacitación en ciberseguridad para el personal, lo que ayudaría a mejorar la conciencia sobre la necesidad de una cultura que priorice la seguridad. También requiere revisiones periódicas de políticas y procedimientos.

"ISO27001 incluye un requisito de evaluación continua para garantizar que los riesgos (incluidas las amenazas internas) de una organización sean monitoreados continuamente y que los controles de mitigación se implementen y mejoren gradualmente", explica Akhtar de CyberSmart.

“Esto ayuda a hacer frente a las amenazas internas porque ayuda a las empresas a implementar procesos y medidas prácticas para contrarrestarlas. Es más, anima a las organizaciones a pensar en las amenazas que plantean los insiders y en cómo mejorar continuamente sus medidas de seguridad”.

Sin embargo, los estándares y esquemas de ciberseguridad como Cyber ​​Essentials Sólo se pueden conseguir organizaciones hasta ahora. También deben considerar las causas subyacentes del riesgo interno. Esto puede requerir una reevaluación fundamental de la cultura laboral corporativa.

“El fraude es asunto de todos”, concluye Carpenter de Cifas. Una organización que adopta capacitación en prevención de fraude y se compromete a construir y desarrollar una cultura antifraude está mejor equipada no sólo para enfrentar la creciente amenaza interna sino también para proteger a su personal, clientes y partes interesadas en general”.