Skip to main content

Empleados e integridad de los datos: el enemigo en casa

El enemigo en casa

23/07/2019 - 09:51

Por Mohamed Jafriin, Marketing Analyst de ManageEngine

Los ciberdelincuentes de alto nivel han sido protagonistas en los últimos años: organizaciones conocidas y sus datos son el objetivo. Pero, existe un enemigo interno que puede llegar a ser incluso más peligroso y que muchas veces, además, desconoce que es un riesgo para la empresa. Nos referimos a los empleados.

La ciberseguridad no es un tema que las empresas se puedan permitir ignorar. El Instituto Nacional de Ciberseguridad (INCIBE) afirma que, durante el primer trimestre de 2018, gestionó más de 9.000 ataques informáticos a personas y organizaciones. A ello, se suma que solo uno de cada cinco responsables de informática aseguró estar bien preparado para un ciberataque, según una encuesta global a CIO (Chief Information Officer) de Harvey Nash y KPMG. Además, según informes recientes, alrededor del 80% de los incidentes de ciberseguridad provienen de los propios empleados.

El enemigo en casa

Mientras que los ataques externos tienden a ser rápidos y obvios, los internos pueden ser muy sutiles y difíciles de detectar. Algunos pueden pasar desapercibidos durante meses e incluso años, lo que puede resultar mucho más devastador.

Eso sí, hay que saber que no todos los ataques internos causados por los empleados son impulsados por la malicia. El descuido y la negligencia son la causa más común de estos incidentes pero, al analizar el coste de los daños, el motivo es irrelevante.

Los costes implícitos

Los costes asociados con un ciberataque exitoso o a una brecha de datos son elevados y no hacen más que crecer. El 45% de los ataques en España tuvo como consecuencia daños que superaron los 400.000 € y, cuando se trata de ataques internos, estos pueden ascender hasta el millón. Se incluyen aquí costes de reparación de sistemas y otras pérdidas financieras como las de ingresos y clientes.

Además, el RGPD o Reglamento General de Protección de Datos de la Unión Europea permite la imposición de multas de hasta 20 millones de euros, o el cuatro por ciento de la facturación global de la empresa, si la privacidad de los ciudadanos se ve comprometida de una manera significativa. Estas multas son de imposición obligatoria para cualquier compañía que almacene los datos de los ciudadanos de la Unión Europea.

La gestión de las amenazas internas

La prevención de las amenazas internas no es un tema sencillo. El CERT informa que hacerlo de manera efectiva requiere estrategias de mitigación de comportamiento, así como cambios culturales y técnicos en las organizaciones. Por otro lado, la implementación de prácticas rigurosas de reclutamiento, verificación de antecedentes y una cultura de trabajo que valore la transparencia y la integridad reducirá la probabilidad de que los empleados cometan negligencias o actúen con malicia.

El enemigo en casa

Por su parte, las iniciativas culturales y de comportamiento (incluida la formación en ciberseguridad) deberían apoyarse en la tecnología, para así ayudar a los equipos de seguridad a identificar posibles amenazas internas y poder actuar rápidamente para neutralizarlas.

‘Machine learning’

Cuando solamente se recurre a soluciones de seguridad tradicionales, es difícil detectar con precisión el comportamiento sospechoso de los usuarios. Los falsos positivos son comunes, hasta tal punto que las anomalías de verdad pueden ser fácilmente pasadas por alto o ignoradas por el personal de seguridad, debido todo ello a la ingente cantidad de falsas alarmas que se dan al día. Por esta razón, el software de análisis del comportamiento del usuario tiene un enfoque más sencillo que las soluciones de seguridad tradicionales.

Este software es capaz de realizar un seguimiento de cómo los empleados acceden y utilizan los sistemas de la empresa, empleando para ello las posibilidades del ‘Machine learning’. Así, una vez recogida toda la información, el software creará mapas únicos de los patrones de actividad de cada usuario a lo largo del tiempo. Una vez que esta información de base ha sido registrada, las actividades sospechosas se hacen mucho más fáciles de detectar y el software avisa del comportamiento anómalo de los usuarios como puede ser el abuso de privilegios, las amenazas causadas por negligencias y la presencia de malware en los servidores.

Las anomalías de comportamiento que puedan dar lugar a alertas pueden ser, por ejemplo, un volumen inusual de un evento informático, un usuario que se conecta a una máquina cuando normalmente no lo hace o un intento de acceso a un recurso específico por primera vez. Además, la actividad inusual llevada a cabo con archivos tales como la modificación, copia y eliminación (que no entren dentro de lo habitual) dispararán la alarma.

Así, la detección rápida de cualquier actividad sospechosa permitirá iniciar la búsqueda de las brechas antes, y reducirá la probabilidad de que la empresa tenga que sufrir una multa.