La pandemia de COVID-19 ha desafiado a las organizaciones comerciales y gubernamentales a aumentar su fuerza de trabajo remota. A medida que las organizaciones se apresuran a encontrar herramientas adecuadas para reuniones en línea, tecnología de redes privadas virtuales (VPN) y agudizar las políticas de fuerza laboral remota, invertir en políticas y herramientas de amenazas internas también debería ser una prioridad. Sin interacciones en la oficina, quedaron atrás los días en los que simplemente se confiaba en las observaciones de recursos humanos (HR) o en los informes de los empleados para identificar amenazas internas. Con un desempleo superior al 13 %, los posibles empleados también están más dispuestos a exagerar las solicitudes, los currículos y otros formularios autoinformados. Si bien hay mucho que puede hacer para mitigar las amenazas internas, la prevención sigue siendo una ciencia inexacta con deficiencias conocidas. Este artículo abordará:

  • Las amenazas de daños internos pueden causar
  • Consideraciones al preparar un plan de amenazas internas
  • Procesos, datos y tecnologías que pueden mejorar la prevención de amenazas internas
  • Puntos ciegos de seguridad conocidos para su consideración

 

Daño causado por amenazas internas

¿Por qué las amenazas internas valen su tiempo? Baste decir que hay numerosos artículos y estudios sobre cuán peligrosos pueden ser los ataques de amenazas internas exitosos, por lo que seré breve. Según un informe anual de IBM y Ponemon Institute Costo de un informe de violación de datos[ 1 ]:

  • Las amenazas internas representaron el 50% de todas las infracciones: el 49% se relacionó con empleados negligentes o errores técnicos y el 51% con internos maliciosos.
  • Más del 50% de las violaciones de datos en el estudio fueron el resultado de ataques cibernéticos maliciosos y costaron a las empresas $ 1 millón más en promedio que las que se originaron por causas accidentales
  • El costo promedio de una filtración de datos en los EE. UU. Es de $ 8.19 millones, mientras que el costo promedio global es de $ 4.45 millones.

 

Tipos de amenazas internas

No todas las amenazas internas son iguales. Dada la naturaleza impredecible de la vida y las personas, los iniciados pueden ser una combinación de diferentes categorías de personas o moverse y cambiar rápidamente entre categorías por completo. Además, estos roles pueden variar un poco según las industrias o culturas.

  • "Ignorante" - sin entrenamiento y sin percepción de las consecuencias
  • Poco riguroso - entrenado y consciente - pero descuidado debido a circunstancias atenuantes
  • Comprometida - bajo presiones para hacer algo que normalmente no harían
  • Malicioso - impulsado por la emoción, la codicia o la ira
  • "Infiltrador" - patrocinado por el estado o activista que intenta destruir o robar información confidencial y patentada

 

Definición

Acordar la definición de una amenaza interna suele ser el primer paso en la prevención. La Asociación de Inteligencia y Seguridad Nacional (INSA) define una amenaza interna como,

"La amenaza presentada por una persona que tiene, o alguna vez tuvo, acceso autorizado a información, instalaciones, redes, personas o recursos, y que, a sabiendas o sin darse cuenta, comete actos en contravención de la ley o política que resulta o puede resultar en daños por pérdida o degradación de información, recursos o capacidades del gobierno o de la compañía; o actos destructivos, para incluir daños físicos a otros en el lugar de trabajo ".

Si bien esta es una definición más amplia, pasa la prueba del sentido común y ayuda a las organizaciones a comprender a qué se enfrentan, incluido todo, desde la violencia en el lugar de trabajo hasta el espionaje. Si las organizaciones no pueden ponerse de acuerdo con lo que están tratando de prevenir, será extremadamente difícil ponerse de acuerdo sobre un plan de amenazas internas e implementar tecnología de prevención.

 

Consideraciones organizacionales

Una vez que se adopta una definición, las organizaciones pueden hacer mucho internamente para garantizar la prevención fundamental de amenazas internas. Tenga en cuenta que estos pasos deben completarse antes de invertir en tecnologías de prevención. Estos pasos organizacionales incluyen:

  • Intención: En última instancia, la intención de un buen plan de amenazas internas incluye ayudar a los empleados y no se trata simplemente de encontrar "malos actores". Con base en las herramientas y la tecnología empleadas, un programa de amenazas internas descubrirá predominantemente a empleados que tienen problemas médicos, financieros u otros. Por lo tanto, es fundamental que las organizaciones consideren la variedad de circunstancias enfrentadas y se aseguren de que los planes reflejen empatía hacia los empleados y no solo acciones punitivas.
  • Establecimiento de un Comité Asesor sobre amenazas internas: Actores principales de toda la organización, incluidos recursos humanos, seguridad, TI y el equipo de liderazgo ejecutivo que trabajarán juntos para construir un plan de amenazas internas, políticas y decidir sobre las decisiones legales o éticas asociadas
  • Creación de un plan de amenazas internas: Esto incluye procedimientos operativos estándar, pautas y responsabilidades para prevenir amenazas internas. También vale la pena mencionar las siguientes necesidades:
    • Las actitudes correctas: Los planes de amenazas internas a menudo requieren que los empleados se flexibilicen más allá de las tareas tradicionales porque la mayoría de las organizaciones no pueden simplemente contratar personal de inmediato.
    • Conciencia y entrenamiento: Esto asegura la comprensión organizacional y desarrolla la memoria muscular para prevenir amenazas de tipo ignorante
    • Políticas de precontratación y de terceros: Un buen plan incluye evaluar al personal antes de que accedan a los datos y recursos de la organización, incluidos los nuevos empleados, socios y otros terceros.
    • Comunicaciones: ¿Quién accede, gestiona, coordina y toma medidas sobre estos datos?
  • Conceptos básicos de seguridad de TI: Sin implementar Identity Access Management (IAM), cifrado de datos / archivos y tecnologías de detección / prevención de intrusos, no podrá proteger los datos de ninguna amenaza, por lo tanto, considere estas herramientas obligatorias.

 

Habilitando tecnologías

Estoy dividiendo las tecnologías en varias categorías que llamo "facilitadores" y tecnologías "específicas de amenazas internas". Los habilitadores son tecnologías rentables que brindan información sin necesidad de instalación de red ni grandes esfuerzos de TI. Decidir qué datos usar y cómo usarlos es una decisión clave para cada organización:

  • Datos de crédito: ¡Ya no es solo para los bancos! Con un precio asequible y muy informativo, los datos crediticios se adelantan a los posibles desafíos financieros que podrían resultar en acciones anormales por parte de los empleados; solo asegúrese de que su organización esté a bordo.
  • Datos criminales: Estos son datos de inserción que proporcionan informes casi en tiempo real de los arrestos de los empleados y otros asuntos legales que pueden afectar negativamente el rendimiento.
  • Otros datos regulados: Estos datos rara vez se usan comercialmente y solo después de identificar actividades sospechosas. Si esto suena espeluznante o "hermano mayor", ¿se da cuenta de que así es como Facebook y otras plataformas de redes sociales envían anuncios basados ​​en la ubicación junto con la venta de estos datos a terceros?
  • Datos de redes sociales: Estos datos analizan el contenido de plataformas disponibles públicamente como Facebook, Instagram, LinkedIn, etc. para proporcionar información sobre la actividad de los empleados.
  • Tecnologías de aseguramiento del lugar de trabajo: esta tecnología integra datos crediticios y criminales dentro de un marco legalmente compatible para garantizar que su plan de amenazas internas y las acciones asociadas cumplan con el escrutinio legal.
  • Inteligencia Artificial (AI): Son las palabras de moda en estos días y por una buena razón. Estas tecnologías, incluyendo Clearspeed Verbal que es una tecnología habilitada para IA que aprovecha el análisis de voz validado, proporciona un punto de datos único y ayuda para tomar decisiones más informadas. Para la mayoría de las soluciones basadas en IA, solo es tan bueno como sus datos, por lo que es fundamental tener una cantidad significativa de datos y una comprensión firme del tipo de datos que se utilizan. Algunas soluciones se crean a partir de IA y se pueden emplear rápidamente, mientras que otras proporcionan un motor de IA para que las organizaciones aprendan de sus propios datos. ¡Es importante comprender la diferencia!

El conjunto común de tecnologías específicas de amenazas internas incluye:

  • Análisis de comportamiento del usuario (UBA): captura la actividad de red de cada usuario (archivos, aplicaciones, actividad web, impresión, etc.), establece su actividad como base y alerta de acuerdo con los parámetros definidos por el usuario.
  • Prevención de pérdida de datos (DLP): se centra en los datos de la red y evita que los usuarios o intrusos roben datos
  • Análisis de flujo de red: monitorea el tráfico de datos para determinar la información que sale de la red

 

Puntos ciegos

Como puede ver en la lista anterior, no hay escasez de herramientas y datos. Desafortunadamente, las amenazas internas de alguna manera todavía están en los titulares semanales. Si bien un plan de amenazas internas con tecnología integrada puede mitigar algunos tipos de amenazas internas, aún existen importantes puntos ciegos que deben entenderse:

  • Evitación simple o circunferencia – Las tecnologías de amenazas internas son ampliamente publicitadas y los expertos sofisticados simplemente saben cómo evitarlas. Por ejemplo, si un empleador recopila datos criminales y emplea a UBA, los empleados que no se metan en problemas y sean cuidadosos con la red informática permanecerán fuera del radar. Si los empleados no pueden, es probable que no sean una amenaza interna avanzada o sofisticada.
  • Datos autoinformados - ¿Qué es exacto y qué no? Todos sabemos cómo funciona la naturaleza humana y la gente prefiere no revelar información que pueda disminuir sus probabilidades de conseguir un trabajo o una autorización.

Para la contratación, se puede verificar cierta información del currículum, incluido el empleo (fecha, puesto, empresa), títulos, certificaciones, etc. y no hay escasez de servicios para ayudar a las organizaciones. Sin embargo, algunos datos no se pueden verificar debido a las limitaciones legales de los datos que los empleadores anteriores pueden proporcionar, incluidos logros anteriores en un puesto, acción disciplinaria (que no forma parte de un informe penal), la capacidad de trabajar con otros y otra información diversa que es importante para una contratación exitosa.

La información autoinformada requerida para una autorización de seguridad es mucho más complicada. La actividad delictiva y las direcciones anteriores son sencillas, pero encontrar información para desacreditar las afirmaciones autoinformadas sobre el abuso de sustancias, la influencia extranjera y la salud mental puede ser muy complicado. Desafortunadamente, si no se puede demostrar que la información autoinformada es incorrecta, se asume que es precisa y se otorgan autorizaciones.

  • Personas extranjeras: Hay información limitada disponible sobre personas extranjeras porque la mayoría de los países hacen un mal trabajo al documentar la información, lo que dificulta la obtención de datos criminales, crediticios y de otro tipo. Para las empresas de EE. UU. con ciudadanos locales o de otros países en su nómina, tomar decisiones informadas es un desafío y expone a las organizaciones a riesgos únicos, como el robo de propiedad intelectual y el fraude de seguros.
  • Capacidades únicas de exfiltración: A medida que avanza la tecnología, también lo hacen los riesgos potenciales para los empleadores. Si bien la mayoría de las organizaciones han desarrollado formas de frustrar los discos duros extraíbles, los dispositivos móviles y las unidades en la nube en los activos de TI, los datos confidenciales aún pueden estar en riesgo. Los empleados que capturan datos a través de la memorización, cámaras u otros métodos únicos siguen siendo un riesgo para la mayoría de las organizaciones.

Recursos

Los programas de amenazas internas actualmente no son obligatorios para las empresas comerciales, como lo son para los contratistas gubernamentales autorizados. Sin embargo, los recursos del gobierno sobre programas de amenazas internas están abiertos al público y están llenos de información útil:

¡Hemos cubierto mucho para un blog corto! Si debe quitar algo, debe ser que el riesgo nunca se reducirá a cero, y el riesgo interno, la forma más dinámica de riesgo para cualquier organización, requiere, sobre todo, una metodología de gestión y mitigación holística, redundante y sofisticada de hombre-máquina. trabajo en equipo que se basa en la confianza. El éxito debe comenzar allí, con una evaluación interna honesta de las debilidades y las brechas y luego un liderazgo fuerte comprometido a atacar los puntos ciegos pero haciéndolo con empatía de una manera que permita la confianza como parte de la estrategia de seguridad. La habilitación de la confianza es fundamental en el panorama trans y post-COVID porque una cosa que sabemos con certeza es que mientras el mundo cambia de manera cada vez mayor e impredecible, la naturaleza humana no lo hace... y la clave para mitigar y prevenir las amenazas internas debe comenzar allá.

Les deseo a los lectores el mayor de los éxitos y agradezco sus comentarios, nuevas ideas o conversaciones estimulantes sobre la prevención de amenazas internas. Si puedo responder preguntas o explicar cómo Clearspeed Verbal puede apoyar sus objetivos de amenazas internas, ¡no dude en comunicarse! Me pueden contactar en Kris.brost @clearspeed. Com.

 

Fuentes:

[ 1 ] https://databreachcalculator.mybluemix.net/

[ 2 ] https://www.insaonline.org/explanation-of-insa-insider-threat-definition/[/ Vc_column_text] [/ vc_column] [/ vc_row]