¿Ciberamenazas internas? ¡Más cerca de lo que piensa!

Five ways to minimize the risk of insider threats

¿Ciberamenazas internas? ¡Más cerca de lo que piensa!

Para las organizaciones de nivel empresarial, ya no es suficiente proteger los datos y los sistemas de infames agentes externos. Las organizaciones también deben implementar medidas defensivas para protegerse a sí mismas de algo mucho más cercano a casa: las amenazas internas.

Los ciberataques internos suceden inadvertidamente o a propósito. Queremos compartir los cuatro tipos de amenazas internas y algunas medidas defensivas que ayudan a las organizaciones a reducir el riesgo de estas amenazas.

Dos tipos de ataques internos accidentales

En vez de instaurar un entorno de confianza cero que sea tan restrictivo que obstaculice la productividad y la experiencia de usuario, recuerde que la mayoría de sus empleados y socios de confianza no tienen intenciones maliciosas. Los ataques internos no intencionales o inadvertidos ocurren porque el responsable es inconsciente o negligente.

Un ataque por descuido es cuando alguien con acceso a la información de la compañía se ve afectado por un agente externo sin saberlos. Esto puede ocurrir cuando alguien descuida un dispositivo de la compañía o utiliza Wi-Fi desencriptado en un dispositivo de la compañía.

Un ataque por negligencia es cuando alguien evita un protocolo de seguridad, a menudo para apresurar un proceso de trabajo o por falta de conocimiento acerca del protocolo de seguridad. Cuando los empleados carecen de la capacitación adecuada en seguridad, son más vulnerables a ataques de “phishing” o “spear phishing.”

Dos tipos de ataques internos intencionales

Los dos principales tipos de ataques internos intencionales provienen de atacantes maliciosos profesionales.

Un ataque malicioso proviene de alguien de adentro que al sentirse descontento se vuelve deshonesto para vengarse de la compañía por una ofensa real o imaginaria. Esto puede incluir el robo de datos o sabotear la red o el sistema de una compañía.

Un ataque profesional proviene de alguien de adentro que es un ladrón de carrera. Esto involucra la explotación de las vulnerabilidades de un sistema para sacar provecho.

Ataques externos desde el interior

Si bien los ataques de fuerza bruta continúan siendo una amenaza común en las puertas de cualquier cortafuegos, también existen en las que los agentes maliciosos ataquen su compañía desde el interior. También llamados ataques de ingeniería social, donde un hacker podría hacerse pasar por alguien en una organización a través de credenciales robadas, información robada o de un ataque a la cadena de distribución. Una unidad inteligente de aire acondicionado, por ejemplo, podría estar conectada a la red de una organización, creando una vulnerabilidad de puerta trasera de terceros que circunvala completamente las defensas de primera línea.

Cinco maneras de minimizar el riesgo de amenazas internas

Con tantos zorros en el gallinero, las organizaciones serian prudentes al adoptar un enfoque defensivo antes estas amenazas internas.

  1. Haga que la Junta esté de acuerdo – Aun en 2019, es común que las Juntas de Directivos no pregunten o no entiendan de ciberseguridad. Rafael Narezzi, un prominente Estratega de Ciberseguridad, sugiere que todos en la Junta de Directivos deben “entender que es la [ciberseguridad]. No a un nivel técnico y profundo pero lo suficiente para comprender las consecuencias para el negocio si no actúan.” Cuando la Junta y el personal directivo superior comprendan el costo y las consecuencias de los ciberataques, habrá más apoyo para las iniciativas de ciberseguridad.Esta falta de atención es más común de lo que usted podría suponer. La encuesta de Crimen y Fraude Económico Global de PwC de 2018 encontró que menos de la mitad de las organizaciones encuestadas han realizado una evaluación de riesgo de cibercrímenes. ¡A pesar de que el cibercrimen sea uno de los tres tipos de fraudes más reportados!
  2. Utilice una solución de encriptación efectiva y amigable para el usuario – Es fundamental que los datos de una organización estén seguros porque muchas personas dentro de la organización tienen acceso a ellos y enviar esa información sensible a clientes, proveedores y socios es una parte común de hacer negocios.Funciones que buscar en una solución de encriptación para una organización de nivel empresarial:
    • Las políticas de encriptación automática que aplican encriptación bajo circunstancias definidas (tales como cuando cierta información o palabras clave aparecen en un email).
    • Múltiples métodos de entrega flexibles para distintos tipos comunicaciones encriptadas que permiten al remitente controlar como un mensaje es enviado y decidir si desea incluir características como un tiempo límite.
    • Una experiencia de usuario fácil y expeditiva para empleados y clientes.

    Con una experiencia de usuario ágil — con la plataforma de encriptación OneWorld de Echoworx, por ejemplo — los empleados son menos propensos a evitar protocolos de seguridad porque estos se encuentran incorporados en los flujos de trabajo regulares y no hacen que la seguridad sea una carga para los remitentes o destinatarios.

    Además de reducir los riesgos de amenazas internas, existen beneficios financieros en adoptar una solución de encriptación ágil y flexible. Un estudio reciente de Impacto Económico Total™ realizado por Forrester, revelo que una organización promedio puede disfrutar de hasta $2.7 millones en beneficios mitigantes de costos al emplear nuestra solución de encriptación flexible OneWorld. Obtenga el estudio completo de Impacto Económico Total™ de Forrester acerca de OneWorld ahora.

  3. Capacite a su personal en materia de ciberseguridad – Aunque los empleados sepan por qué no deben abrir archivos adjuntos y cliquear hipervínculos de emails extraños o utilizar “contr@seña” como contraseña, siguen siendo vulnerables a ataques porque el cibercrimen es cada vez más sofisticado. Para cambiar eso, asegúrese de que todos sus empleados participen en capacitaciones regulares y efectivas en ciberseguridad que les ayude a entender porque es importante, como implementar medidas de seguridad en el trabajo y como detectar sofisticados engaños de “phishing” y “spear phishing”.La capacitación puede incluir pruebas y trucos. Un buen truco involucra realizar un falso intento de phishing al personal para reforzar las lecciones del mundo real de la capacitación en ciberseguridad.
  4. Incorpore seguridad en todos los productos y procesos desde el inicio – Capacite a los equipos de desarrolladores para crear productos que sean seguros desde su diseño. Frédéric Virmont, experto en la industria de la ciberseguridad dice, “La seguridad es como la calidad; debe ser desde el comienzo hasta el final del ciclo de vida. Para los desarrolladores, ahora tenemos herramientas donde pueden escribir código y comprobar la seguridad al mismo tiempo. Si se espera hasta el final del producto, ya es demasiado tarde. Una vez que la casa fue construida, ya es demasiado tarde para agregar salidas de emergencia.”Esta idea incluye arquitectura de permisos. Un diseño no seguro les da acceso a todos los usuarios a más información de la necesaria. Para pensar en pos de la seguridad, cree una arquitectura de permisos que conceda acceso basado en necesidades y roles. Por ejemplo, el director de marketing no tendrá los mismos permisos que un agente de atención al cliente.
  5. Haga que la ciberseguridad sea el camino de menor resistencia para todos los usuarios – Le guste o no, solemos hacer lo más fácil. Para las organizaciones, esto significa que los protocolos de seguridad demasiado complejos obstaculizan la adopción. Porque los métodos de ciberseguridad solo funcionan cuando el staff y los clientes los utilizan, la experiencia de usuario siempre debe ser considerada y priorizada.Volviendo al ejemplo de encriptación anterior, hemos encontrado que muchos usuarios internos son reacios a enviar emails encriptados porque no saben cómo encriptarlos o porque no les gusta que se asemejen al spam cuando el destinatario los vea. Estas son dos barreras innecesarias que se interponen en el camino de una seguridad libre de fricción y preparan el camino perfecto para ataques internos por negligencia.

Las amenazas internas son reales y un informe reciente de PwC en los Estados Unidos reveló que el 32 por ciento de los encuestados consideran que las amenazas internas son más costosas y dañinas que los incidentes externos.

Al adoptar un enfoque de seguridad que involucre una solución de encriptación ágil y sin fricción, la seguridad por diseño (el camino de menor resistencia) y capacitación efectiva para el personal y la Junta Directiva, su organización puede minimizar los riesgos asociados con intención maliciosa y con ataques internos no intencionales.

La Diferencia Echoworx

En Echoworx, encriptar es todo lo que hacemos. Nuestra plataforma de encriptación OneWorld es una extensión natural para la mayoría de los sistemas existentes y ofrece una amplia gama métodos de entrega encriptados flexibles, adaptables y confiables para ser utilizados en corporaciones de nivel empresarial.

Conozca más acerca de la rentabilidad de la encriptación OneWorld de Echoworx aquí.

Por: Brian Au, especialista en TI, Echoworx