"La llamada viene de dentro de la casa ..." Esta línea de 1979, cuando un extraño llama a las audiencias aterrorizadas al presentar la noción de que las cosas a las que debemos temer más pueden estar en los espacios en los que nos sentimos más seguros. Esta idea se traduce perfectamente en el ámbito empresarial, los equipos de seguridad a menudo buscan amenazas externas, como malware, estafas de suplantación de identidad (phishing) y ataques de ransomware, pero no ven el peligro que viene de tu patio trasero. Como dice el dicho: “Un enemigo hábil ataca donde más seguro crees estar”
Las amenazas de seguridad internas son mucho más comunes de lo que muchos creen. Se estima que el 60 por ciento de todos los ataques cibernéticos son llevados a cabo por personas con acceso privilegiado. Y, a menudo, las amenazas externas están habilitadas por amenazas internas. Si no se controla, la negligencia de los empleados, o incluso la malevolencia, puede exponer a una organización a una serie de riesgos de seguridad. Los empleados pueden volverse malévolos por una lista completa de razones, lo que podría hacer que se peleen contra sus compañeros de trabajo o empleador. Debido a su naturaleza impredecible, abordar el problema de las amenazas internas es un tema complicado y delicado. No hay una respuesta y una solución adecuada, y se debe tener en cuenta una gran cantidad de factores. A continuación, echamos un vistazo a algunos consejos de mejores prácticas para los equipos de TI que buscan mantener una información maliciosa, o simplemente incompetente, de causar una crisis de seguridad.
Parece un poco extraño que los propios empleados de una organización se incluyan en su "registro de amenazas". Además, la idea de una cultura de vigilancia de la empresa puede parecer un tanto ofensivo para los empleados. Las prácticas de seguimiento excesivo de las conversaciones de correo electrónico, los historiales de búsqueda y los registros de dispositivos a veces se pueden ver como “sombríos”, en el mejor y peor de los casos, pueden erosionar la base de la confianza en la que se basa un negocio exitoso. Dicho esto, mantener a una organización a salvo de amenazas internas a menudo depende de una buena dosis de monitoreo de las actividades del usuario para vigilar cualquier comportamiento extraño o irregular.
Sin embargo, eso no necesariamente significa husmear en las bandejas de entrada de sus empleados. En su lugar, puede usar las herramientas de monitoreo de red y rendimiento que ya tiene a su disposición para mantener las líneas de base sobre el comportamiento normal y el uso de recursos, y recibir notificaciones cuando las cosas se vean fuera de orden.
No dejes que los datos/información de tu negocio caigan en las manos equivocadas.
Los equipos de seguridad de TI deben estar atentos a las descargas y transferencias de archivos inusuales (más información sobre esto más adelante). Esto es especialmente importante para los usuarios con acceso a información confidencial de la empresa. Un aumento notable en la actividad del usuario o el uso de recursos también puede alertar sobre actividades maliciosas. Si bien, a veces, un aumento en la actividad del usuario puede explicarse completamente, otras veces puede indicar algo más preocupante. Algunos usuarios pueden trabajar desde casa para completar proyectos y no deben verse de inmediato como un comportamiento sospechoso, mientras que otros pueden tener un trabajo que requiere un uso intensivo de GPU o CPU. Dicho esto, si un empleado tiene aumentos repentinos y dramáticos en su actividad y uso de recursos combinados con actividades sospechosas, esto debería ser motivo de preocupación.
Por ejemplo, si un miembro de tu equipo de mercadotecnia cuyo trabajo generalmente involucra el manejo de los medios sociales y la programación de eventos, de repente está usando el 100 por ciento de su GPU, las 24 horas del día, los siete días de la semana, eso es un buen indicador de que están algo no anda bien, o han tenido su máquina comprometida. Al usar las herramientas de monitoreo de red para establecer líneas de base para el uso de recursos, puede controlar el uso irregular, e incluso configurar alertas automáticas cuando se superan ciertos umbrales de uso.
Un enfoque de monitoreo de actividad sólido coordinará el monitoreo con capacidades de respuesta rápida que permiten a los equipos de TI terminar de manera rápida y fácil las conexiones de IP, cerrar cuentas y finalizar las transferencias de archivos para detectar y prevenir infracciones de seguridad internas. El monitoreo de NetFlow también puede alertarlo sobre una actividad inusual. Otras prácticas importantes para el monitoreo de la actividad incluyen registrar y documentar cuidadosamente los eventos si los empleados llevan a cabo un ataque interno. Si no hay evidencia contra el empleado, una organización no podrá procesarla en el tribunal.
Si bien el uso de la línea de base y el monitoreo pueden ayudarlo a encontrar información privilegiada maliciosa o máquinas comprometidas, uno de los tipos más comunes de amenazas internas es en realidad la simple pereza y negligencia.
Actualmente en el mundo empresarial, la mayoría de los negocios que se realizan son fuera de los límites del firewall corporativo. Los empleados a menudo tienen que transferir grandes cantidades de datos confidenciales a terceros fuera del firewall de la empresa. Si a los empleados no se les brinda una forma segura y sencilla de transferir estos datos, a menudo se tomarán las cosas en sus propias manos y usarán correos electrónicos no seguros o, lo que es peor, aplicaciones de intercambio de archivos no autorizados. DropBox y Google Drive son los sospechosos habituales.
El uso de una solución segura y confiable de transferencia administrada de archivos (MFT) brinda a las organizaciones la capacidad de garantizar que los datos confidenciales se entreguen solo a destinatarios autorizados, y brinda a los equipos de TI la capacidad de monitorear y capturar toda la actividad de transferencia de archivos. Al elegir una solución MFT para compartir datos externos, los equipos de seguridad deben considerar cualquier capacidad adicional necesaria, incluido el acceso a la cuenta, informes y alertas, integración de antivirus y cualquier otro mecanismo de seguridad.
Como hemos ido discutiendo a lo largo de este Blog, las amenazas internas representan una preocupación muy seria para la seguridad empresarial moderna. Al comprender completamente los riesgos asociados con las amenazas internas, los equipos de TI pueden equiparse con soluciones para minimizar el riesgo. Con las soluciones de transferencia segura de archivos de Ipswitch, las organizaciones pueden garantizar la transferencia segura y compatible de los datos protegidos al proporcionar a los usuarios alternativas fáciles de usar a los métodos de transferencia de riesgo. El uso compartido de carpetas seguras ofrece una alternativa conveniente y fácil de usar a los servicios de uso compartido de archivos de nivel de consumidor. MOVEit Client proporciona acceso a transferencias seguras desde computadoras de escritorio Mac y Windows. MOVEit Ad-Hoc hace que la transferencia segura de archivos sea fácilmente accesible desde Microsoft Outlook o desde un navegador web. MOVEit Mobile permite el acceso desde dispositivos iOS o Android.
View all posts from Nate Lewis on the Progress blog. Connect with us about all things application development and deployment, data integration and digital business.
Deje que nuestros expertos le enseñen cómo utilizar las mejores funciones de Sitefinity para ofrecer experiencias digitales atractivas.
Aprende másSuscríbete para recibir todas las noticias, información y tutoriales que necesitas para crear mejores aplicaciones y sitios de negocios