El riesgo interno no se limita a los actores maliciosos. La mayoría de las veces, se trata de errores. Alguien envía un archivo confidencial a una dirección incorrecta o sube un documento a su nube personal para teletrabajar. En muchos casos, no hay mala intención, ya que muchos incidentes internos se deben a negligencia, no a malicia.
Aun así, los infiltrados maliciosos pueden ser devastadores. Algunos roban propiedad intelectual, otros son sobornados o presionados por grupos externos para instalar ransomware, exfiltrar secretos comerciales o cerrar operaciones.
El impacto del riesgo interno se siente en toda la organización y ya no se limita al equipo de ciberseguridad. El 86 % dice que un evento interno afectaría la cultura de la empresa, según Code42.
La detección no es suficiente
Según Zach Capers , analista sénior de seguridad de Capterra, las empresas que restringen adecuadamente los datos tienen el doble de probabilidades de evitar ataques internos. Las organizaciones deben aplicar el principio del mínimo privilegio, garantizando que los empleados solo tengan acceso a los datos necesarios para su trabajo. Los usuarios con altos privilegios deben ser supervisados de cerca y el uso de derechos administrativos debe minimizarse.
Es tentador confiar en las herramientas. Las plataformas modernas pueden detectar comportamientos extraños, rastrear el movimiento de archivos y alertar a los equipos de seguridad. Pero la detección no resuelve el problema de fondo.
Una respuesta exclusivamente técnica al riesgo interno puede ser errónea; necesitamos comprender el lado humano. Esto implica prestar atención a los patrones, las motivaciones y la cultura. Un monitoreo excesivo sin contexto puede alejar a las personas competentes y aumentar el riesgo en lugar de reducirlo.
En lo que respecta a la monitorización del lugar de trabajo, la claridad y la transparencia son fundamentales. «La transparencia comienza con una comunicación intencionada», afirmó Itai Schwartz , director de tecnología de MIND. Esto implica ser sincero con los empleados, no solo sobre la monitorización, sino también sobre qué se monitoriza, su importancia y cómo contribuye a la protección tanto de la empresa como de sus empleados.
Según Schwartz, las organizaciones suelen obtener el apoyo de los empleados cuando vinculan claramente la monitorización con la seguridad, en lugar de la vigilancia. «Los empleados merecen saber que la monitorización se trata de proteger los datos, no de vigilar a las personas», afirmó. Si las personas ven cómo les beneficia a ellos y a la empresa, es más probable que la apoyen.
Ser específico es clave. Schwartz recomienda describir claramente qué tipo de actividades, datos o sistemas se están monitoreando y explicar cómo se activan las alertas. «La documentación debe ser fácil de encontrar, fácil de entender y debe reforzarse durante la incorporación y la capacitación», afirmó.
La supervisión ética también implica establecer límites. Schwartz enfatizó la importancia de la proporcionalidad: recopilar solo lo relevante y necesario. «Permita que los empleados comprendan cómo su comportamiento impacta el riesgo y utilice esa información para orientar, no para castigar», afirmó. ¿Y si su enfoque de supervisión no se puede compartir con comodidad con su equipo? «Probablemente necesite mejorarlo».
En última instancia, dijo Schwartz, el objetivo es “construir sistemas que respeten la privacidad del usuario y al mismo tiempo protejan los datos de la organización”.
Políticas sencillas, control de acceso inteligente
A menudo, los empleados desconocen que están creando riesgos. Las políticas confusas agravan la situación. Los equipos de seguridad deben redactar políticas concisas y vinculadas a puestos de trabajo específicos.
No entierres las expectativas en un PDF que nadie lee. Capacita a las personas con ejemplos reales y muéstrales cómo se ve un comportamiento seguro en sus tareas diarias.
El privilegio mínimo sigue siendo un control fundamental. Limite el acceso de los empleados únicamente a los archivos y sistemas que necesitan. Pero no lo configure y lo olvide. Los permisos cambian cuando las personas cambian de trabajo , asumen nuevos proyectos o cambian de equipo.
Revise el acceso periódicamente. Las herramientas de gobernanza de identidad ofrecen flujos de trabajo automatizados para gestionar y auditar el acceso.
Según Ivanti, los protocolos de seguridad rígidos, como procesos de autenticación complejos y controles de acceso altamente restrictivos, pueden frustrar a los empleados , disminuir la productividad y dar lugar a soluciones alternativas inseguras.
Al desarrollar políticas de seguridad eficaces, la simplicidad y la usabilidad deben ser prioritarias. «Las mejores políticas de seguridad son prácticas, contextuales y fáciles de usar», afirmó Eran Barak , director ejecutivo de MIND. En lugar de basarse en normas rígidas que penalizan los errores, Barak aboga por políticas que guíen el comportamiento de forma coherente con la forma en que las personas trabajan.
Eso empieza con la observación. En lugar de diseñar políticas aisladas, Barak recomienda estudiar los flujos de trabajo y crear reglas en torno a ellos. «Empieza por comprender cómo trabajan los empleados y luego adapta las políticas a esos patrones», dijo. Las directivas vagas no ayudan mucho, así que es mejor incluir detalles específicos: qué se puede compartir en Slack, qué no se debe publicar en un chatbot de IA y cuándo marcar algo sospechoso.
Para mantener la relevancia de las políticas, Barak aconseja crear ciclos de retroalimentación. Las políticas no deben permanecer estáticas a medida que cambia el panorama de riesgos. «Deben evolucionar, no estancarse», afirmó. Y, lo que es más importante, no deben imponerse desde arriba sin consultar a los directivos. «Cocreen políticas con sus equipos», añadió. «Quienes se sienten responsables de las decisiones de seguridad tienen muchas más probabilidades de adoptarlas».
Cuando se necesita aplicar medidas de control, no tiene por qué ser drástico. Barak sugiere usar herramientas automatizadas para enviar recordatorios sutiles en tiempo real, como mensajes educativos o indicaciones que pidan a los usuarios que expliquen sus acciones. Escalar la situación solo cuando sea necesario. «Comienza con pequeños obstáculos y mensajes educativos casi en tiempo real en el momento de la infracción de la política y permite que el usuario proporcione una razón», dijo.
Y, sobre todo, que sea simple. «Si una política no se puede explicar en pocas viñetas o enviar un mensaje de Slack al instante, es demasiado compleja», dijo Barak.
El comportamiento importa más que la actividad
El comportamiento humano sigue siendo una vulnerabilidad importante incluso en los entornos más seguros. Por lo tanto,
según Mimecast, los líderes de ciberseguridad deben adoptar un enfoque proactivo y centrado en el ser humano para la gestión de riesgos.
Registrar cada clic no es útil. En su lugar, busque señales de cambio. ¿Algún usuario inició sesión a horas inusuales? ¿Descargó grandes volúmenes de datos antes de cerrar sesión?
Las herramientas de análisis del comportamiento pueden detectar estas tendencias. Sin embargo, las personas deben seguir participando en el proceso de revisión. Los algoritmos pueden detectar, pero los humanos deben decidir qué es riesgoso.
Según Josh Harr , director de estrategia de Protasec, es fundamental asegurar la aceptación de los ejecutivos y fomentar una amplia concienciación. «Creo que la aceptación y la concienciación del riesgo en sí son primordiales», afirma Harr. «He explicado a los ejecutivos el coste de no utilizar los datos que tenemos en la organización para garantizar que no tengamos un mayor riesgo de amenazas internas».
Esa concienciación no debe limitarse a la alta dirección. «La concienciación también es práctica para toda la organización», añade. Harr aboga por una capacitación progresiva en todos los niveles, en particular para directores y gerentes, para ayudarles a reconocer posibles señales de alerta en el comportamiento. «Capacitar progresivamente a directores, gerentes y demás personal sobre cómo identificar el comportamiento es de gran ayuda».
Para hacer operativa esta concienciación, Harr ha implementado cuadros de mando de riesgo interno en todas las organizaciones. Estas herramientas analizan señales como los resultados de simulaciones de phishing, la actividad de los endpoints y las puntuaciones de riesgo de malware a nivel individual. «Estos cuadros de mando permiten a la organización adoptar un enfoque basado en el riesgo en las investigaciones y la búsqueda de amenazas», explica. «Al analizar el comportamiento organizacional de los individuos en los sistemas, los líderes pueden tener una visión completa de dónde residen los riesgos, manteniéndolos bien informados».
Otra herramienta infrautilizada para reducir el riesgo interno es una práctica ya común en muchos sectores: la certificación de acceso. «Las revisiones anuales de acceso ayudan a prevenir la corrupción en el acceso», señala Harr, pero solo si se realizan junto con la monitorización del comportamiento y la formación. «Solo si se lleva a cabo lo mencionado anteriormente», advierte.
Haz que sea seguro hablar
La seguridad depende de la cultura. Los empleados deben sentirse seguros al reportar errores o acciones sospechosas. Si temen ser castigados, guardarán silencio y los riesgos aumentarán.
Reconocer y celebrar regularmente las conductas de ciberseguridad en el equipo no solo anima a quienes son diligentes, sino que también inspira a otros a involucrarse. Esto podría implicar reconocer a quienes siguen las mejores prácticas, identifican posibles amenazas a la seguridad o contribuyen a mejorar la seguridad, explica Emily Wienhold , especialista en educación cibernética de Optiv.
Las herramientas de denuncia anónima, las políticas de puertas abiertas y el apoyo de RR. HH. son de gran ayuda. También lo es recordarles que el objetivo es la protección, no el castigo.
La cultura juega un papel fundamental en la prevención de incidentes internos. La empatía y la capacitación son tan importantes como la tecnología.
“Crear una mentalidad que priorice la seguridad en toda la organización, a través de capacitación y una comunicación clara, garantiza que la gestión de riesgos se adapte a las nuevas amenazas, apoyando tanto la innovación como el cumplimiento”, afirmó Chris Wysopal , Evangelista jefe de seguridad en Veracode.
Colaborar con RR.HH. y el departamento legal
Los CISO no pueden hacerlo solos. Los equipos de RR. HH. pueden detectar la falta de compromiso y detectar las primeras señales de problemas. El departamento legal ayuda a gestionar las normas de privacidad y cumplimiento.
Forme un pequeño equipo interdisciplinario para gestionar el riesgo interno. Este equipo deberá revisar las decisiones de monitoreo, guiar las investigaciones y proteger los derechos de los empleados.
La negligencia genuina o las acciones deliberadas deben manejarse adecuadamente, pero determinar la culpa y aplicar las sanciones debe ser el último paso de una investigación objetiva y razonable. Sin duda, no debería ser la reacción estándar, señala Kai Roer , director ejecutivo de Praxis Security Labs.
Fuente y redacción: helpnetsecurity.com