Safetica > Resources > Prácticas esenciales para prevenir amenazas internas y fugas de datos

Prácticas esenciales para prevenir amenazas internas y fugas de datos

feb 15, 2024

Una amenaza interna es un riesgo de seguridad de violación de datos causado por personas que tienen acceso legítimo a los datos de una organización. Las amenazas internas pueden ser involuntarias o malintencionadas. Las amenazas internas van en aumento y se ven intensificadas por los espacios de trabajo digitales, el trabajo flexible y a distancia, y el comportamiento ágil de las empresas sin políticas estrictas.

¿Qué son las amenazas internas?

Una amenaza interna es una amenaza maliciosa o no intencionada para una organización que se origina en operaciones internas o en personas que tienen acceso a los datos de una organización, como empleados, contratistas o socios.

Los intrusos pueden causar daños a la seguridad, los datos, los sistemas o la reputación de la organización a través de sus acciones. Las amenazas internas pueden incluir acciones maliciosas como el robo de datos, el sabotaje o el espionaje. Los datos también pueden perderse o ser robados accidentalmente: que las credenciales de los empleados se vean comprometidas por el uso de redes públicas mientras trabajan a distancia, o el envío de datos a personas sin autorización son sólo dos ejemplos.

Independientemente del tipo de datos que gestione su organización -ya se trate de la recopilación de información personal como nombres, datos de contacto, números de seguridad, números de tarjetas o bases de datos de clientes-, siempre hay un comprador interesado. Si los datos se ven comprometidos y un actor interno los adquiere, pueden comercializarse en la red oscura o incluso directamente a la competencia.

Amenaza interna frente a riesgo interno: ¿Cuál es la diferencia?

La terminología puede variar ligeramente según el contexto y las perspectivas individuales, pero las definiciones ampliamente aceptadas en el campo de la ciberseguridad son:

Amenaza interna: Se refiere al daño o peligro potencial planteado por individuos dentro de una organización, como empleados, contratistas o socios, que pueden poner en peligro, intencionadamente o no, la seguridad o los datos de la organización.

Riesgo interno: Se trata de un concepto más amplio que incluye tanto las amenazas intencionadas como las no intencionadas originadas por personas internas. Abarca los riesgos asociados al comportamiento humano, la negligencia, la ignorancia y otros factores dentro de la postura de seguridad de una organización. La gestión de riesgos internos se centra en identificar, evaluar y mitigar estos riesgos, ya sean malintencionados o accidentales.

La gestión de riesgos internos implica identificar, evaluar y mitigar los diversos riesgos asociados a las acciones internas, ya sean intencionadas o accidentales, intentando prevenirlas en lugar de esperar a limpiar las consecuencias después de que se produzcan. Incluye un enfoque proactivo para gestionar el daño potencial que los iniciados pueden suponer para la seguridad y las operaciones de una organización.

A continuación analizaremos las mejores prácticas y algunas formas efectivas en que las organizaciones pueden gestionar el riesgo de los intrusos.

En Safetica, sabemos que las personas cometen errores. Todos sus datos están a salvo con nosotros, tanto si se trata de información privilegiada maliciosa como de personas normales que no siempre son perfectas.

El coste de las amenazas internas

Los costes globales de un incidente de amenaza interna aumentaron de 11,45 millones de dólares en 2020 a 16,2 en 2023 (Ponemon). La mayoría de estas amenazas son involuntarias: el 55% fueron causadas por personas internas negligentes, mientras que el 25% fueron maliciosas.

Si cree que los incidentes con información privilegiada no pueden ocurrirle a usted, piénselo de nuevo: ¡el 71% de las empresas experimentan entre 20 y 40 incidentes al año! Las amenazas internas van en aumento debido a los espacios de trabajo digitales y al incremento del trabajo remoto. Las pérdidas de datos provocadas por los intrusos se produjeron en los terminales BYOD (43%) sólo ligeramente más que en los terminales propiedad de la empresa (41%). Pero el mayor culpable, con un 59% de los casos, es el entorno de la nube (59%) y los dispositivos IoT (56%).

La rapidez con la que una organización detecta y contiene el incidente es muy importante: De media, se tarda casi tres meses (86 días) en contener un incidente de amenaza interna. Contener las consecuencias de una amenaza interna cuesta una media de 179.209 dólares. Cuanto más se tarda en detectar una amenaza interna, mayores son los costes: Los incidentes que tardaron más de 90 días en descubrirse costaron a las empresas una media de 18,33 millones de dólares; el coste medio de los incidentes que se descubrieron en menos de 30 días fue de 11,99 millones de dólares.

10 Buenas prácticas para prevenir las amenazas internas

Mantener la seguridad de los datos confidenciales requiere un enfoque combinado. He aquí nuestros 10 mejores consejos para prevenir la pérdida de datos por amenazas internas:

1. Inventariar y clasificar los recursos de datos

Empiece a prevenir las amenazas internas haciendo inventario de todos sus recursos de datos y organizándolos en función de su importancia. He aquí por qué es importante:

  • Visibilidad: No se pueden proteger los datos que se desconocen. Inventariar sus datos le ofrece una imagen completa de lo que necesita protección.
  • Priorización: No todos los datos son igual de críticos. Clasifique los recursos para priorizar los esfuerzos de protección en los activos más valiosos.
  • Control de acceso: Saber qué datos están dónde le permite aplicar controles de acceso precisos, limitando la exposición a información sensible.
  • Respuesta eficaz: En caso de amenaza, un inventario organizado acelera los esfuerzos de respuesta, minimizando los daños potenciales.
  • Cumplimiento: La gestión adecuada de los datos es a menudo un requisito reglamentario, y un inventario ayuda a los esfuerzos de cumplimiento.

Consejo: Safetica Compliance es una potente extensión de nuestra solución DLP para empresas, Safetica ONE. Identificará los datos protegidos en virtud de normativas clave como GDPR, PCI DSS, HIPAA y muchas otras, y establecerá políticas y tareas de descubrimiento de datos para ayudarle a cumplir estas normativas.

2. Análisis de comportamiento

El análisis del comportamiento detecta las amenazas internas antes de que se conviertan en infracciones. El análisis del comportamiento implica crear líneas de base del comportamiento normal de los usuarios y señalar cualquier desviación que pueda indicar intenciones maliciosas o actividades no autorizadas.

Empiece por establecer una línea de base del comportamiento normal de cada usuario de su organización. Esto implica recopilar datos sobre sus horas habituales de inicio de sesión, los dispositivos que utilizan, sus ubicaciones y las aplicaciones a las que acceden con regularidad.

El sistema supervisará las acciones de cada usuario y, cuando se produzcan desviaciones, como tiempos de inicio de sesión inusuales, acceso a sistemas desconocidos o transferencias de datos atípicas, el sistema emitirá alertas para que se investiguen más a fondo. Por ejemplo, si un empleado accede repentinamente a un gran número de archivos confidenciales o intenta filtrar datos fuera del horario laboral habitual, puede ser indicio de intenciones maliciosas.

3. Modelo de confianza cero

Adopte el modelo de seguridad de Confianza Cero, en el que la confianza no se da por supuesta, ni siquiera para las personas con acceso a información privilegiada. Este enfoque exige una verificación continua y rigurosos controles de acceso:

  • La confianza se gana, no se da, independientemente de si alguien es un empleado o una persona con acceso a información privilegiada.
  • Confirme periódicamente las identidades y privilegios para garantizar la confianza permanente.
  • Limite el acceso sólo a lo necesario, minimizando el riesgo de amenazas internas.

4. Cifrado de datos y autenticación de dos factores

Dos prácticas fundamentales de seguridad de datos deben ser su patrón oro: el cifrado de datos y la autenticación de dos factores (2FA).

  • Cifrado de datos

El cifrado es el proceso de convertir datos en un código para protegerlos de accesos no autorizados. Al aplicar el cifrado a la información sensible, la salvaguardas, incluso si una persona con información privilegiada intenta acceder sin autorización.

Ejemplo 1: Comunicación por correo electrónico

Sin cifrado, los correos electrónicos que incluyen datos sensibles son vulnerables a la interceptación o al uso indebido por parte de personas con información privilegiada. La encriptación del correo electrónico garantiza que, aunque una persona con acceso a información privilegiada acceda a estos correos, el contenido seguirá siendo ilegible sin la clave de desencriptación.

Ejemplo 2. Protección de bases de datos Protección de bases de datos

Las bases de datos de su empresa contienen una gran cantidad de información crítica. El cifrado de los datos de las bases de datos garantiza que, en caso de que una persona con acceso a información privilegiada penetre en el sistema, no podrá acceder a los datos confidenciales sin la clave de cifrado.

  • Autenticación de dos factores

La autenticación de dos factores añade una capa adicional de seguridad a la autenticación tradicional con nombre de usuario y contraseña. Requiere que los usuarios proporcionen dos formas de identificación antes de conceder el acceso, lo que reduce significativamente el riesgo de acceso no autorizado.

Ejemplo 1: Acceso a cuentas de trabajo

Cuando los empleados inician sesión en sus cuentas de trabajo, no sólo introducen su contraseña (primer factor), sino que también reciben un código de un solo uso en su dispositivo móvil (segundo factor). Aunque una persona con información privilegiada conozca la contraseña de un empleado, no podrá acceder a la cuenta sin el código único de un solo uso.

Ejemplo 2: Acceso a sistemas sensibles

Para acceder a sistemas críticos o datos sensibles, exija 2FA. Esto significa que incluso si una persona con acceso a información privilegiada adquiere de algún modo las credenciales de acceso de un colega, seguirá necesitando el método de autenticación secundario, como una huella dactilar o un token de seguridad, para acceder.

5. Crear una política de seguridad sólida

La creación de una política de seguridad sólida es fundamental para proteger a su organización contra las amenazas internas. Asegúrese de que sus políticas de seguridad son claras y directas. La complejidad puede generar confusión, indiferencia o incumplimiento entre los empleados. Puede utilizar la norma ISO 27001 como guía para dotar a su organización de un sistema eficaz de gestión de la seguridad de la información.

Ejemplo práctico: Una política de contraseñas clara podría especificar requisitos como "Las contraseñas deben tener al menos 12 caracteres, incluir letras mayúsculas y minúsculas y cambiarse cada 90 días." Esta directriz directa no deja lugar a interpretaciones erróneas.

Consejos para una política de seguridad eficaz que evite la pérdida de datos:

  • Implique a los departamentos pertinentes para crear una política alineada con las necesidades y normativas de la organización.
  • Mantenga la política actualizada para hacer frente a las amenazas y tecnologías en evolución.
  • Utilice un lenguaje claro y no técnico para facilitar la accesibilidad.
  • Adapte las secciones a los distintos puestos de trabajo.
  • Incluya situaciones reales para ilustrar los principios de la política.
  • Describa pasos claros para informar y responder a incidentes de seguridad.
  • Notifique a los empleados las actualizaciones y cambios de la política.
  • Defina las repercusiones de las infracciones de la política.
  • Facilite el acceso a la política a todos los empleados.
  • Realice simulacros de seguridad para evaluar la aplicación de la política.

6. Eduque a sus empleados

Disponer de una política de seguridad es sólo el principio. Para que su política de seguridad pase de la teoría a la práctica, es imprescindible educar a sus empleados de forma eficaz. He aquí cómo hacerlo:

  • Motivación a través de la comprensión: Inspire a su equipo para que proteja sus datos ofreciéndole sesiones de formación y recordatorios fáciles de entender.
  • Conciencia de los datos sensibles: Asegúrese de que sus empleados entienden qué datos se consideran sensibles, cómo pueden ser explotados y su papel fundamental en su protección.
  • Que hable el jefe. Si la dirección participa en la formación, todos se la tomarán más en serio. No es necesario que el director general haga toda una presentación, pero si muestra su implicación en la causa, será mucho mejor recibida.
  • ¡BREVE! Sea breve y sencillo. Intenta dar a los empleados toda la información que puedas en el menor tiempo posible. Puntos extra por hacerlo divertido.

Para obtener más consejos sobre cómo educar a sus empleados en materia de seguridad de datos, consulte nuestro artículo detallado: Cómo educar a sus empleados sobre la seguridad de los datos.

7. Herramientas de colaboración seguras

La colaboración eficaz es esencial en el lugar de trabajo moderno, pero también introduce riesgos potenciales de amenazas internas. Para mitigar estos riesgos, debe tomar decisiones informadas sobre los tipos de herramientas de colaboración y comunicación que utilizan sus empleados. Estas herramientas deben incorporar cifrado y controles de acceso para proteger los datos confidenciales de accesos no autorizados y filtraciones.

Las herramientas de colaboración seguras deben cifrar los datos tanto en tránsito como en reposo. Esto significa que, aunque una persona con acceso a información privilegiada acceda a los canales de comunicación o a los archivos almacenados, el contenido seguirá siendo ilegible sin las claves de descifrado.

Implemente controles de acceso estrictos para limitar quién puede ver, editar o compartir información sensible dentro de las plataformas de colaboración. Esto garantiza que sólo las personas autorizadas puedan acceder a los datos críticos.

8. Detección de puntos finales

Los puntos finales, en el contexto de la ciberseguridad, se refieren a dispositivos individuales como ordenadores, portátiles y dispositivos móviles que se conectan a la red de su organización. Estos puntos finales son a menudo los puntos de entrada de las amenazas internas.

Por qué son importantes: Los puntos finales son el lugar donde los empleados interactúan con los datos y los sistemas, lo que los convierte en objetivos principales para los intrusos que intentan acceder, robar o manipular información confidencial. Proteger los endpoints es fundamental porque suelen ser la primera línea de defensa contra las amenazas internas.

Las soluciones de DLP con una sólida protección de los endpoints los vigilan continuamente para detectar comportamientos inusuales, como intentos de acceso no autorizados, modificaciones de archivos o transferencias de datos. Cuando se detectan anomalías, se activan alertas y respuestas, que pueden incluir el aislamiento del endpoint, el bloqueo de procesos maliciosos o la alerta a los equipos de seguridad.

¿Sabía que? El módulo de cumplimiento de Safetica identifica y clasifica los datos confidenciales en los endpoints, mejorando la visibilidad de los procesos de manipulación de datos y facilitando la configuración de políticas de prevención de pérdida de datos.

9. Controle las nuevas contrataciones y los empleados que se marchan

La seguridad de su organización empieza por las personas. Para protegerse contra las amenazas internas, tenga en cuenta lo siguiente:

  • Proceso de contratación vigilante: Empiece por comprobar los antecedentes de los nuevos empleados. Asegúrese de que son dignos de confianza y comprenden las políticas de seguridad de datos de su organización.
  • Desvinculación segura: Cuando los empleados se marchen, establezca un proceso de baja seguro. Esto incluye revocar rápidamente los derechos de acceso y asegurarse de que no se marchan con datos confidenciales.
  • Vigile a los empleados en peligro: Si sospechas que algún empleado está en peligro o supone un riesgo para la seguridad, vigila de cerca sus actividades. Evalúa su acceso a los datos y limítalo a lo estrictamente necesario para su función.

10. Implemente software de prevención de pérdida de datos

Aunque cada uno de los pasos mencionados puede mejorar la seguridad de sus datos, una solución sólida de software de prevención de pérdida de datos puede ser su aliado más potente. He aquí por qué:

  • Sistema de defensa todo en uno: El software DLP ofrece un enfoque holístico de la seguridad de los datos, protegiéndolos de diversas amenazas, incluidos los riesgos internos. Abarca la protección de datos, los controles de acceso, la detección de amenazas y la supervisión en tiempo real.
  • Interrupción mínima del flujo de trabajo: El software DLP funciona perfectamente en segundo plano. No interrumpirá el flujo de trabajo diario ni reducirá en modo alguno la productividad de sus empleados.
  • Etiquetado: Con herramientas como las de Safetica, puede etiquetar los datos sensibles en función del contexto, lo que permite una supervisión y un control precisos de la forma en que los empleados acceden a la información crítica e interactúan con ella.
  • Políticas de seguridad personalizadas: Adapte las políticas de seguridad a las necesidades únicas de su organización. Esto incluye el bloqueo de operaciones de archivo específicas, la captura de datos, el control de dominios de correo electrónico, la restricción del uso de dispositivos externos y la prevención de cargas de datos no autorizadas a la nube.
  • Fácil implantación: Safetica simplifica la implementación e integración del software DLP, garantizando un proceso de configuración eficiente y sin problemas.

Consejo: Si está interesado en probar el software DLP de Safetica y comprender lo que puede hacer por su empresa, reserve una demostración gratuita. Uno de nuestros gestores de cuentas le mostrará cómo funciona y responderá a cualquier pregunta que tenga. Esto es lo que puede esperar de una llamada de demostración.

Reacción ante incidentes causados por personas con acceso a información privilegiada

Si su empresa se enfrenta a una violación de datos iniciada por personas con acceso a información privilegiada, siga estos pasos clave:

  1. Forme un equipo de respuesta a incidentes: Reúna a expertos en TI, seguridad, RR.HH. y asuntos jurídicos para coordinar la investigación.
  2. Documente y conserve: Registre los detalles del incidente y conserve pruebas como la fecha y hora de la violación, los sistemas o datos afectados y cualquier vulnerabilidad potencial que se haya explotado, guardando registros, correos electrónicos, transcripciones de chats o pruebas físicas.
  3. Realice un análisis: Si es necesario, los expertos forenses pueden realizar un análisis detallado de la violación. Pueden ayudar a identificar el alcance del incidente, los métodos utilizados y los datos que pueden haberse visto comprometidos.
  4. Entrevistas y registros: Entreviste a las partes implicadas, incluido el presunto intruso, los testigos y los empleados afectados, y revise los registros de acceso. Este paso puede ayudar a determinar cómo se produjo la filtración y quién fue el responsable.
  5. Evaluación del impacto: Evalúe el impacto de la filtración en su organización: qué datos se han perdido, implicaciones financieras y daños a la reputación.
  6. Notifique a las partes afectadas: Notifíquelo a las autoridades reguladoras, a los clientes afectados o a los socios. Asegúrese de cumplir la legislación y la normativa sobre datos.
  7. Tome medidas correctivas: Solucione cualquier vulnerabilidad o punto débil detectado durante el proceso de investigación. Actualice las políticas de seguridad, parchee los sistemas y mejore la formación de los empleados según sea necesario.
  8. Eduque a los empleados: Informe a los empleados sobre el incidente sin revelar detalles sensibles. Haga hincapié en la importancia de informar sobre actividades sospechosas y recuerde a los empleados las políticas de seguridad y las mejores prácticas. La formación periódica de los empleados es imprescindible para prevenir las amenazas internas.
  9. Supervisión continua: Implemente procesos continuos de supervisión y auditoría para detectar y prevenir futuras amenazas internas. Considere la posibilidad de utilizar soluciones de prevención de pérdida de datos para supervisar y proteger los datos confidenciales de su empresa. Un software DLP sólido incluirá protección contra amenazas internas.
  10. Acciones legales y de RR.HH: Tome las medidas legales y de RRHH necesarias. Estas pueden incluir medidas disciplinarias, despidos o procedimientos legales.

Ejemplos reales de incidentes de amenazas internas

#1 Tesla

El gigante de los coches eléctricos Tesla sufrió una importante filtración de datos en 2023, cuando 2 antiguos empleados filtraron a un medio de comunicación alemán datos personales confidenciales de más de 75.000 empleados de Tesla, así como secretos de producción, transacciones bancarias y reclamaciones presentadas ante Tesla.

Afortunadamente, el medio alemán se negó a utilizar la información debido a las restricciones del GDPR, pero Tesla no puede negar que su reputación recibió un golpe. Tesla ha emprendido acciones legales contra los dos empleados, ha presentado demandas para acceder a sus dispositivos electrónicos, donde se cree que están almacenados los datos robados, y ha obtenido órdenes judiciales que impiden a los ex empleados malintencionados seguir accediendo y utilizando los datos robados.

#2 Microsoft

Microsoft vivió una situación muy cercana en 2022 cuando unos empleados expusieron accidentalmente unas credenciales de inicio de sesión muy importantes en GitHub. Los datos podrían haber dado acceso a actores maliciosos a los servidores Azure de Microsoft (un servicio de computación en nube) y a otros sistemas internos, causando potencialmente una enorme fuga de datos. Por suerte, una empresa de seguridad de datos de renombre alertó a Microsoft de que las credenciales eran visibles y la situación se resolvió antes de que se produjera ningún daño real. Microsoft está tomando medidas para evitar que se produzcan situaciones similares en el futuro.

#3 Ubiquiti

Ubiquiti es uno de los principales productores mundiales de dispositivos de comunicación inalámbrica. La empresa contaba con un infiltrado malicioso entre sus empleados. Nickolas Sharp robó gigabytes de datos de la empresa e intentó pedir un rescate a su empleador.

Nickolas Sharp utilizó sus credenciales de administrador de la nube para clonar y robar datos confidenciales. Intentó ocultar su actividad y cambió las políticas de conservación de registros para que su identidad permaneciera desconocida. Cuando obtuvo los datos, exigió casi 2 millones de dólares a Ubiquiti a cambio de la devolución de los archivos. Sin embargo, la empresa se negó a pagar, le descubrió y cambió todas las credenciales de los empleados.

En enero de 2021, Ubiquiti emitió una notificación de violación de datos, y Nickolas Sharp fue detenido por robo de datos y extorsión.

#4 Coca-Cola

En 2018, The Coca-Cola Company anunció una violación de datos. Se descubrió que un ex empleado tenía un disco duro externo que contenía información robada de Coca-Cola.

"Estamos emitiendo avisos de violación de datos a alrededor de 8,000 individuos cuya información personal estaba incluida en archivos de computadora que un ex empleado se llevó cuando dejó la compañía", dijo un portavoz de Coca-Cola a Bleeping Computer.

#5 Trend Micro

En 2019, Trend Micro sufrió una filtración de datos personales causada por un insider malicioso. La empresa se enteró de que algunos de sus clientes estaban recibiendo llamadas fraudulentas que decían ser del servicio de asistencia de Trend Micro.

Enseguida se inició una investigación que confirmó que se trataba de una amenaza interna. Un empleado obtuvo acceso a una base de datos de asistencia al cliente con nombres, direcciones de correo electrónico, números de ticket de asistencia de Trend Micro y números de teléfono. El empleado vendió los datos confidenciales a un tercero malintencionado.

El empleado fue despedido inmediatamente y se aconsejó a los clientes que no reaccionaran ante las llamadas fraudulentas.

Cómo puede ayudarle Safetica con las amenazas internas en su organización

Las amenazas internas van en aumento debido a las diversas formas de trabajar de la "nueva normalidad". Proteja sus datos adoptando las medidas adecuadas que le ayudarán a mantener a salvo su información confidencial. Su mayor activo para la seguridad de los datos es el software de DLP adecuado. Encuentre uno que combine todas las funciones importantes y proteja sus datos críticos, así como a sus empleados.

Recuerde que si las personas se sienten seguras, los datos de su empresa también lo estarán.

Safetica ofrece una solución que le ayuda a mantener sus datos seguros: desde el descubrimiento inicial (y continuo) de datos confidenciales u otros datos críticos para la empresa en su espacio de trabajo digital, pasando por la eficaz protección dinámica frente a fugas de datos y amenazas internas, hasta la fácil integración con otras herramientas y en entornos empresariales multidominio.

Por último, Safetica es muy fácil de implementar e integrar. Y esta no es sólo nuestra opinión, ¡nuestros clientes piensan lo mismo! Constantemente recibimos distinciones de G2 y otras plataformas de revisión por pares, donde los clientes proporcionan comentarios sobre el software que utilizan.

Hablemos de la seguridad de los datos de su organización

Similar posts