¡Conoce las opiniones de nuestros +8500 alumnos!

Banner LISA Comunidad


Lista de 21 medidas para detectar y prevenir Insiders en tu organización

Las medidas de seguridad para detectar y prevenir Insiders requieren ser transversales y multidisciplinares. Las medidas de seguridad contra Insiders deben anticiparse a cualquier comportamiento de obtención de información ilegítima o cualquier actuación que afecte a los recursos, información o estrategia de la organización.

Básicamente porque esta amenaza interna tan lesiva puede ser cualquier persona que tenga conocimiento interno y/o acceso a los datos confidenciales, la tecnología, los precedimientos o cualquier recursos de la organización. Un error que cometen muchas organizaciones es proteger, únicamente, su perímetro con la idea de que los ataques se producirán siempre de forma a externa.

Así que, para facilitarte la detección y prevención de Insiders, a continuación encontrarás una lista de 21 medidas para prevenir y detectar esta amenaza interna en cualquier empresa, organismo público e institución.


      Lista de 21 medidas para detectar y prevenir Insiders en tu organización - LISA institute

      Lista de 21 medidas para detectar y prevenir Insiders en tu organización

      1. CONOCER Y DETECTAR TUS ACTIVOS CRÍTICOS

      La función más básica de un programa de amenazas internas es proteger los activos más esenciales, aquellos de los que depende el negocio, para posteriormente proteger aquellos que proporcionan una ventaja competitiva a la organización. Podemos definir un activo crítico como:

      “Un bien o servicio de valor que si es destruido, alterado o degradado de alguna manera impactaría la confidencialidad, integridad o disponibilidad y tendría un severo efecto negativo en la habilidad de la organización para apoyar las misiones esenciales y las funciones del negocio

      Actualmente, la tecnología permite una colaboración más fluida que nunca entre los diferentes empleados de una organización, pero también permite que la información y los servicios sensibles o confidenciales puedan ser fácilmente eliminados o manipulados con fines maliciosos o fraudulentos. De esta manera, es fundamental comprender los activos críticos (físicos, personales y lógicos) para poder defenderse de aquellos atacantes que tienen como objetivo afectar gravemente a una organización. Si quieres saber las motivaciones que llevan a un insider a actuar contra su organización, haz clic aquí.

      Las preguntas ayudan a la organización a identificar y priorizar la protección de sus activos críticos. A continuación, ofrecemos las cinco preguntas más relevantes que hay que replantarse y responder en cualquier Plan de detección y prevención de insiders:

      1. ¿Qué activos críticos tenemos?
      2. ¿Conocemos el estado actual, lugar y política de uso/acceso de cada activo crítico?
      3. ¿Comprendemos la importancia de cada activo crítico y podemos explicar por qué es crítico a nuestra organización?
      4. ¿Podemos priorizar nuestra lista de activos críticos?
      5. ¿Tenemos la autoridad, el dinero y los recursos para monitorizar eficazmente nuestros activos críticos?

      Una vez que los activos críticos son identificados y priorizados, la organización debe identificar aquellos que son de alto riesgo y están más expuestos a las personas que son quienes, más a menudo, interactúan con los sistemas o datos críticos. Esto ayudará a la organización a desarrollar los mejores enfoques en materia de la identificación de posibles amenazas internas o Insiders.

      2. DESARROLLAR UN PROGRAMA FORMALIZADO DE INSIDERS

      El programa formalizado de amenazas internas proporciona a la organización un recurso designado para abordar el problema de los Insiders. Sólo adoptando medidas proporcionales y especializadas las organizaciones pueden detectar, prevenir y responder eficazmente a la amenaza interna. El CERT Insider Threat Center señala que los componentes comunes que se encuentran en los programas de amenazas internas dentro del gobierno de EEUU, así como en las organizaciones no gubernamentales, son los siguientes:

      • Programa Formalizado y Definido: Directrices, Autoridades, Declaración de la Misión, Liderazgo, Intención, Gobernanza y Presupuesto, o lo que es lo mismo lo que llamamos en LISA Institute: Directiva de Prevención y Detección de Insiders.
      • Participación de toda la organización: Participación de todos los componentes que facilita el acceso a los datos, lugares y servicios, compartiéndolos y proporcionando un apoyo visible de los líderes senior para el programa, especialmente cuando los datos necesarios para un programa de amenazas internas se encuentran en silos (RRHH, Seguridad, IA, CI, LE, IG, Finanzas, etc.).
      • Supervisión del cumplimiento y la eficacia del programa: Existe una estructura formada por un Grupo de Trabajo que ayuda al gerente del programa a producir normas y procedimientos operativos para el programa de Insiders, así como a recomendar cambios en las prácticas y procedimientos existentes. También hay un Grupo Directivo que es el encargado de aprobar los cambios recomendados por el Grupo de Trabajo. La supervisión incluye autoevaluaciones anuales, así como evaluaciones de terceros sobre el cumplimiento y efectividad del programa.
      • Mecanismos y procedimientos de información confidencial: No sólo se permite el reporte de actividades sospechosas, si no que también deben existir protocolos de coordinación, estrechamente relacionados con el programa de amenaza internas, para garantizar que los denunciantes legítimos no se vean inhibidos, monitorizados o penalizados por un programa de amenazas internas.
      • Plan de respuesta a incidentes de amenazas internas: Este plan detalla cómo se identificarán, gestionarán y escalarán las alertas y anomalías, incluyendo los plazos para cada acción y los procedimientos de disposición formal.
      • Comunicación de Eventos de Amenazas Internas: Se dedican a compartir apropiadamente la información del evento con los componentes correctos, mientras se mantiene la confidencialidad y se protege la privacidad hasta que las alegaciones estén completamente corroboradas. Incluye la comunicación de las tendencias, patrones y tendencias de las amenazas internas o Insiders.
      • Protección de las libertades y derechos civiles de los empleados y clientes/ciudadanos: Revisión de la asesoría legal en todas las etapas de desarrollo, implementación y operación del programa.
      • Políticas, Procedimientos y Prácticas: Documentos formales que detallan todos los aspectos del programa (incluyendo la misión, el alcance de las amenazas, las directivas, las instrucciones y los procedimientos operativos estándar).
      • Técnicas y prácticas de recogida y análisis de datos: Incluye la parte de recopilación y análisis de datos de la Monitorización de la Actividad del Usuario (UAM) de un programa. Requiere una documentación detallada de todos los aspectos de la recopilación, el procesamiento, el almacenamiento y el intercambio de datos para garantizar el cumplimiento de la privacidad y las libertades civiles.
      • Entrenamiento y Concienciación sobre las amenazas internas: Esta formación abarca tres aspectos de la organización: a) Formación de Concienciación sobre Amenazas Internas para todo el personal de la organización (empleados, contratistas, consultores), b) Formación para el personal del Programa de Amenazas Internas, y c) Formación basada en roles para especialistas de la misión que probablemente observen ciertos aspectos de los eventos de amenazas internas (por ejemplo, RRHH, IA, CI, LE, Ciencias del Comportamiento, IG, Finanzas, Seguridad, Ciberseguridad, etc).
      • Infraestructura de prevención, detección y respuesta: Defensas de la red, defensas del host, defensas físicas, herramientas y procesos y otros componentes.
      • Prácticas de amenazas internas relacionadas con los socios comerciales de confianza: Acuerdos, contratos y procesos revisados para la prevención de amenazas internas, detección y capacidades de respuesta.
      • Integración de Insiders con la gestión de riesgos empresariales: Garantizar que todos los aspectos de la gestión de riesgos incluyan consideraciones sobre las amenazas internas (no sólo los atacantes externos) y posiblemente un componente independiente para la gestión de riesgos de Insiders.

      3. DOCUMENTAR Y APLICAR DE FORMA COHERENTE LAS POLÍTICAS Y CONTROLES

      Un mensaje coherente y claro en todas las políticas y procedimientos organizativos reducirá la posibilidad de que los empleados dañen inadvertidamente a la organización o arremetan contra ella o sus empleados por una injusticia percibida. Las organizaciones deben asegurarse de que las políticas sean justas y que el castigo por cualquier violación no sea desproporcionado. De lo contrario, pueden generar resentimiento entre los empleados y conllevar, potencialmente, a acciones internas perjudiciales.

      Las organizaciones deben asegurarse de que las políticas y controles proporcionen los siguientes aspectos:

      • Documentación clara, concisa y coherente.
      • Formación consistente y fácilmente disponible a los empleados sobre las políticas y su justificación e implementación.
      • Dispongan de un sistema de auditoria interna y externa para garantizar su cumplimiento.

      Las organizaciones deben ser particularmente claras en cuanto a las políticas relacionadas con:

      • El uso y la divulgación de los sistemas, la información y los recursos de la organización
      • El uso de cuentas privilegiadas o de administrador
      • La propiedad de la información creada como producto del trabajo
      • La evaluación del rendimiento de los empleados, incluyendo los requisitos para la promoción y las primas financieras
      • Los procesos y procedimientos para atender a las quejas de los empleados
      • Las políticas y procedimientos que describen el comportamiento aceptable y deseable en el lugar de trabajo

        4. PRESTAR ESPECIAL ATENCIÓN A LOS PROCESOS DE CONTRATACIÓN

        El enfoque de una organización para reducir su amenaza interna de cualquier trabajador debe comenzar en el proceso de contratación y nunca acabar, incluso después de la finalización del contrato del trabajador.

        La verificación de los antecedentes de los posibles empleados debería revelar las condenas penales anteriores, incluir una comprobación de crédito o morosidad, verificar los empleos previos e incluir conversaciones con los empleadores anteriores sobre la competencia del individuo, etc. Este es un trabajo propio del Departamento de Seguridad mediante investigación privada, criminólogos profesionales de la Inteligencia

        La organización debe utilizar la información de antecedentes de manera legal, con la debida consideración a la naturaleza y duración de cualquier delito, como parte de un proceso de decisión basado en el riesgo para determinar el acceso del empleado a información o sistemas críticos, confidenciales o de propiedad intelectual.

        La organización debe exigir la comprobación de los antecedentes de todos los empleados potenciales, así como de los contratistas y subcontratistas, que deben ser investigados con la misma minuciosidad. Sin embargo, esta información debe ser salvaguardada adecuadamente para proteger la privacidad del empleado de acuerdo con el GDPR y la orientación de cualquier Estado miembro de la UE.

        Entrenar a los supervisores para que reconozcan y respondan al comportamiento inapropiado o preocupante de los empleados es una inversión que vale la pena. Por ejemplo, en algunos casos de amenazas internas, los supervisores notaron un comportamiento menor, pero inapropiado en el lugar de trabajo, y no actuaron porque el comportamiento no violaba la política. Sin embargo, la falta de definición o aplicación de las políticas de seguridad, en algunos casos, envalentonó a los empleados a cometer repetidas violaciones que se intensificaron en gravedad y aumentaron el riesgo de un daño significativo a la organización. Las organizaciones deben hacer cumplir de manera consistente las políticas y procedimientos para todos los empleados.

        Las organizaciones deben tener políticas y procedimientos para que los empleados informen sobre el comportamiento preocupante o perturbador de sus compañeros de trabajo. Las organizaciones deben investigar todos los informes de comportamientos preocupantes o comportamiento perturbador hasta que se determine una respuesta organizacional apropiada. Si un empleado muestra un comportamiento preocupante, la organización debe responder con el debido cuidado. En general, las organizaciones deberían ayudar a cualquier empleado a resolver las dificultades del lugar de trabajo.

        Una vez que una organización identifica el comportamiento preocupante de un empleado, puede tomar varios pasos para gestionar los riesgos de las actividades maliciosas. Estos pasos pueden incluir la evaluación del acceso del empleado a los activos de información crítica y el nivel de acceso a la red, revisando los registros de la actividad reciente y presentarle al empleado opciones para hacer frente a los problemas que causan el comportamiento, como podría ser el acceso a un servidor confidencial. Si el empleado muestra un comportamiento potencialmente violento o perjudicial, se debe elaborar un plan de evaluación y gestión de amenazas completo.

        5. ANTICIPAR Y MANEJAR LOS ASUNTOS NEGATIVOS EN EL AMBIENTE DE TRABAJO

        Las organizaciones deben comunicar sus políticas y prácticas a los nuevos empleados en su primer día de trabajo. Tales políticas y prácticas incluyen los siguientes aspectos:

        • El comportamiento aceptable en el lugar de trabajo.
        • El código de vestimenta.
        • Las políticas de uso aceptable.
        • Las horas de trabajo.
        • El desarrollo de la carrera profesional.
        • La resolución de conflictos y otros asuntos relacionados con el lugar de trabajo.

        La existencia de dichas políticas por sí sola no es suficiente. Tanto los empleados nuevos como los veteranos deben estar al tanto de dichas políticas y de las consecuencias de su violación. Las organizaciones deben hacer cumplir sus políticas para mantener un ambiente de trabajo armonioso.

        Los aumentos y promociones (ajustes anuales del costo de vida, revisiones de desempeño, etc.) pueden tener un gran impacto en el entorno laboral, especialmente cuando los empleados esperan aumentos o promociones, pero no los reciben. Los empleados no deben contar con estos premios como parte de su salario a menos que estén asegurados por contrato e, incluso, el importe de la adjudicación especificado en el contrato que podría ser variable en el tiempo. Sin embargo, cuando estos premios se convierten en parte de la cultura de la empresa, los empleados los esperan año tras año y su falta genera frustración.

        Si la dirección sabe de antemano que la organización no podrá proporcionar aumentos o promociones como se espera, deben informar a los empleados tan pronto como sea posible y ofrecer una explicación, al igual que en el caso de la reducción de plantilla. En todos los casos de mayor incertidumbre o decepción en torno a los aumentos de sueldo, ascensos y despidos, la organización debe estar más alerta a cualquier comportamiento anormal y promulgar medidas de seguridad reforzadas para mitigar mejor las amenazas internas (Insiders).

        Los empleados con problemas necesitan una manera de buscar ayuda dentro de la organización. Los empleados deben ser capaces de discutir abiertamente los asuntos relacionados con el trabajo con la dirección o el personal de Recursos Humanos, sin miedo a las represalias o a las consecuencias negativas. Cuando los problemas de los empleados surgen a causa de factores externos, incluidos la situación financiera o personal, los empleados pueden encontrar útil un servicio como un Punto de Atención al Empleado (PAE). Estos programas ofrecen asesoramiento confidencial para ayudar a los empleados, permitiéndoles restaurar su desempeño laboral, la salud o el bienestar general.

        6. CONSIDERAR LOS INSIDERS EN LAS EVALUACIONES DE RIESGOS DE TODA LA ORGANIZACIÓN

        Las organizaciones necesitan desarrollar una estrategia de seguridad integral basada en los riesgos y amenazas actuales y futuros para proteger los activos críticos contra las amenazas de dentro y fuera de la empresa, incluso de los socios comerciales de confianza a los que se les da acceso autorizado desde dentro. Las organizaciones deben determinar cuidadosamente la probabilidad y el impacto potencial de un ataque interno a cada uno de sus activos, incluyendo la vida humana. Todos los empleados de la organización, no sólo los principales interesados, deben comprender lo que está en juego por el compromiso del sistema, la pérdida o exposición de datos críticos y el impacto tanto físico como legal de los incidentes de violencia en el lugar de trabajo.

        Las evaluaciones de riesgos ayudan a las organizaciones a identificar los activos críticos, las posibles amenazas a dichos activos y el impacto de la misión si los activos están en peligro. Las organizaciones deben utilizar los resultados de la evaluación para desarrollar o perfeccionar una estrategia general de seguridad que logre el equilibrio adecuado entre la lucha contra la amenaza y el cumplimiento de la misión de la organización. Asimismo, deben aplicarse y respetarse las políticas y controles adecuados en relación con las políticas de prevención de la violencia en el lugar de trabajo.

        Una evaluación de riesgos organizacionales que incluya a los Insiders como una amenaza potencial abordará el impacto potencial sobre la confidencialidad, integridad y disponibilidad de la información y los recursos críticos de la organización. Las personas con información privilegiada malintencionada han afectado la integridad de la información de sus organizaciones al manipular la información financiera de los clientes o al desfigurar los sitios web de sus organizaciones. También han violado la confidencialidad de la información al robar secretos comerciales, información de clientes o correos electrónicos gerenciales sensibles, difundiéndolos de manera inapropiada. El hecho de contar con tales análisis de riesgos y amenazas integrales y transversales prepara mejor a una organización para tomar medidas y emprender acciones legales.

         

        Cursos de Analista de Inteligencia - LISA Institute

        7. ESTAR ATENTO A LAS REDES SOCIALES

        Los usuarios internos que utilizan redes sociales o plataformas digitales pueden amenazar intencionalmente o no los activos críticos de la organización o afectar a su reputación e imagen de marca. Las organizaciones deben proporcionar capacitación, políticas y procedimientos sobre cómo los empleados, los socios comerciales y los contratistas deben utilizar las redes sociales.

        Las redes sociales pueden ser usadas para determinar quién, dentro de una organización, puede ser más susceptible o estar más dispuesto a participar en un ataque interno. Por ejemplo, si un empleado publica comentarios negativos acerca de su trabajo o empresa, los atacantes pueden ver esto como una señal de que el empleado está descontento y posiblemente esté dispuesto a participar en un ataque interno malicioso. Además, los usuarios malintencionados también pueden utilizar las redes sociales para identificar a las personas que desempeñan funciones de alto valor (alta dirección, personal financiero, personal de seguridad o ciberseguridad, etc.) y, así, llevar a cabo ataques dirigidos. Un ejemplo de ello, es la suplantación de identidad. Si quieres saber qué hacer ante la situación de que te suplanten la identidad en las redes sociales, entra aquí.

        Las organizaciones necesitan políticas y procedimientos para protegerse contra las amenazas internas, involuntarias o maliciosas. Las políticas deben abordar lo que es y lo que no es aceptable en la participación de los empleados en las redes sociales. Las empresas deben tener en cuenta lo que sus empleados pueden publicar, sin importar lo inofensivo que puede parecer. Por ejemplo, una política que prohíba la publicación de proyectos de la empresa o incluso las afiliaciones de la compañía puede ser apropiada porque los expertos en OSINT (Inteligencia de Fuentas Abiertas) o los competidores mediante sus Departamentos de Inteligencia Competitiva podrían utilizar esta información para su propio beneficio. Asimismo, todo comportamiento intimidatorio o amenazante hacia los compañeros de trabajo debe ser investigado siguiendo los procedimientos establecidos por la organización y la legislación vigente en cada país.

        8. DISEÑAR LA GESTIÓN Y LAS TAREAS PARA MINIMIZAR EL ESTRÉS Y LOS ERRORES INTERNOS

        Las organizaciones deben entender la psicología de su fuerza de trabajo y las demandas que se hacen por su liderazgo. Una vez que se entienden, le corresponde a la organización crear un ambiente de trabajo que conduzca a resultados positivos. El comportamiento humano ofrece muchas oportunidades para que se cometan errores, especialmente por parte de los que se precipitan para completar múltiples tareas en entornos de alto estrés. Más allá de los errores, los altos niveles de estrés en el lugar de trabajo crearán mala voluntad y un mayor potencial de actividades maliciosas.

        Para reducir la probabilidad de amenazas internas maliciosas y no intencionadas, así como el nivel de estrés de los empleados, las organizaciones pueden considerar los siguientes medios:

        • Centrarse menos en la productividad de la línea superior y más en el logro de resultados productivos.
        • Promover políticas y prácticas que proporcionen a los empleados más tiempo para lograr los objetivos orientados a la misión de la organización.
        • Una gestión sensible orientada a las personas en lugar de orientada a los proyectos.
        • Incluir tiempo en los programas de trabajo para centrarse en la planificación de las tareas o en la presentación de nuevas ideas sobre cómo hacer las cosas que beneficien a la organización.
        • Promover la equidad, más allá de la igualdad y adecuar el puesto al trabajador y no al revés.

        9. INCORPORAR LA CONCIENCIA DE LOS INSIDERS EN LA FORMACIÓN SOBRE SEGURIDAD PARA TODOS LOS EMPLEADOS

        Todos los empleados necesitan entender que los delitos internos pueden ocurrir y cuando ocurren tienen consecuencias proporcionales, pero severas. Además, es importante que comprendan que los Insiders no se ajustan a un perfil en particular. Sus habilidades técnicas han variado desde mínimas a avanzadas, y sus edades pueden oscilar desde la adolescencia tardía hasta la edad de jubilación. No existe un perfil estándar que pueda ser usado para identificar a un Insider. Tampoco hay manera de utilizar la información demográfica para identificar fácilmente a un Insider. Sin embargo, hay maneras de identificar a los empleados de mayor riesgo e implementar estrategias de mitigación para reducir su impacto en la organización en caso de que decidan atacar.

        La formación de concienciación sobre seguridad debe animar a los empleados a identificar Insiders a través del comportamiento que lleven a cabo o muestren en público o en privado:

        • Amenazar a la organización.
        • Descargar datos sensibles o de propiedad dentro de los 30 días de la renuncia.
        • Usar los recursos de la organización para un negocio secundario o discutir el inicio de un negocio competidor
        • Intentar obtener las contraseñas de los empleados u obtener acceso mediante engaño o explotación.

        Si quieres conocer los tipos de insiders que existen, varios ejemplos reales y cómo detectar a un insider, haz clic aquí.

        Estos programas deben crear una cultura de seguridad apropiada para la organización e incluir a todo el personal, así como ofrecerse al menos una vez al año. Por otro lado, también es muy importante la formación en materia de Ciberseguridad e Inteligencia con el objetivo de crear una cultura preventiva e investigativa que contribuya a la detección y prevención de los Insiders.

        10. IMPLEMENTAR POLÍTICAS Y PRÁCTICAS ESTRICTAS DE ADMINISTRACIÓN DE CUENTAS Y CONTRASEÑAS

        No importa cuán vigilante sea una organización contra la amenaza de las personas con información privilegiada, si las cuentas de usuario de la organización pueden verse comprometidas, los Insiders tendrán la oportunidad de eludir los mecanismos de prevención de ataques. Las políticas y prácticas de gestión de cuentas de usuario y contraseñas son fundamentales para impedir que un Insider utilice los sistemas de la organización con fines ilícitos. En este artículo, te ofrecemos 15 consejos de Ciberseguridad que mejorarán la ciberseguridad de tu organización.

        Es importante llevar a cabo, periódicamente, auditorías de las cuentas, combinadas con controles técnicos, para que las organizaciones puedan identificar:

        • Cuentas de "back-door" (puerta trasera) que podrían ser utilizadas por Insiders para realizar acciones maliciosas.
        • Cuentas compartidas cuya contraseña era conocida por el informante y no se cambió al momento de la terminación o reasignación del informante a otro puesto dentro de la organización.
        • Cuentas creadas para interlocutores externos, como contratistas y proveedores, cuyas claves de acceso eran conocidas.
        • Los restablecimientos de contraseñas realizados en exceso por los administradores o para cuentas utilizadas con poca frecuencia.

        Para evitar el riesgo de ataque de los empleados, las organizaciones deberían evaluar periódicamente la necesidad de cada cuenta y permanecer activar sólo aquellas que sean absolutamente necesarias por aquellas personas que realmente las necesiten. Se deben implementar procedimientos y controles técnicos estrictos que permitan a los auditores o investigadores rastrear toda la actividad en línea de esas cuentas hasta un usuario individual. Estos límites, procedimientos y controles disminuyen la capacidad de un usuario de realizar actividades maliciosas sin ser identificado.

        11. IMPLANTAR CONTROLES RIGUROSOS DE ACCESO Y POLÍTICAS DE MONITORIZACIÓN PARA LOS USUARIOS PRIVILEGIADOS

        La mayoría de los Insiders, que cometen sabotaje y que roban información confidencial o de propiedad intelectual, ocupan puestos técnicos en las organizaciones. Entre los métodos técnicamente sofisticados para llevar a cabo y ocultar actividades maliciosas se han incluido:

        • Escribir o descargar scripts o programas
        • Crear cuentas de backdoor
        • Instalar herramientas de administración de sistemas remotos
        • Modificar los registros del sistema
        • Introducir malware
        • Usar crackers de contraseñas

        Las organizaciones deben configurar sistemas y redes para facilitar el no repudio mediante el uso de ciertas políticas, prácticas y tecnologías. En caso de que ocurra una actividad interna maliciosa, las técnicas de no repudio permiten que todas y cada una de las actividades se atribuyan a un solo empleado, sin importar el nivel de acceso de los empleados. Sin embargo, estas medidas son diseñadas, creadas e implementadas por administradores del sistema y otros usuarios privilegiados. Para evitar que un usuario privilegiado intente eludir las medidas de no repudio, varios usuarios privilegiados deben crear, implementar y hacer cumplir los diseños de seguridad de la red, del sistema y de las aplicaciones. Además, el equipo de seguridad de la información de la organización debe revisar regularmente la actividad privilegiada.

        12. DESPLEGAR SOLUCIONES PARA MONITORIZAR LAS ACCIONES DE LOS EMPLEADOS Y CORRELACIONAR LA INFORMACIÓN DE MÚLTIPLES FUENTES DE DATOS

        Los programas eficaces de Insiders recopilan y analizan información de muchas fuentes diferentes. El simple registro de toda la actividad de la red no es suficiente para proteger a una organización de la actividad interna maliciosa. A medida que aumenta el número de fuentes de datos utilizadas para el análisis de las amenazas internas, siempre y cuando vaya asociado a un adecuado análisis de inteligencia, aumenta la capacidad de una organización para producir alertas más relevantes y tomar mejores decisiones con respecto a la posible actividad interna. Si quieres formarte, adquirir habilidades profesionales y certificarte en Inteligencia, entra aquí

        El volumen de datos que debe ser recolectado, agregado, correlacionado y analizado, impulsa la necesidad de herramientas que puedan fusionar datos de fuentes dispares en un ambiente donde se puedan desarrollar alertas que identifiquen acciones indicativas de una potencial actividad interna. Las soluciones para el seguimiento de las acciones de los empleados deben ser implementadas utilizando un enfoque basado en el riesgo y centrándose primero en los activos críticos de la organización.

        Una de las herramientas más poderosas que una organización puede utilizar para realizar la correlación de eventos es un sistema de seguridad denominado Gestión de Información y Eventos de Seguridad (SIEM). Las herramientas SIEM están diseñadas para proporcionar una vista centralizada de una amplia gama de registros de fuentes que incluyen bases de datos, aplicaciones y redes, y servidores. Las herramientas SIEM proporcionan la capacidad de escribir consultas o generar alertas que unen datos de fuentes de datos previamente dispares, mejorando las capacidades analíticas para la prevención, detección y respuesta a las amenazas.

        La implementación exitosa de una capacidad analítica para las amenazas internas depende de saber qué datos se deben recolectar. Existen numerosas fuentes de datos que se encuentran en muchas organizaciones y algunas que se recomiendan son:

        • Registros de creación de cuentas
        • Registros de Directorio Activo
        • Registros de Antivirus y Cortafuegos
        • Registros de Autenticación
        • Registros de Detección y Prevención de intrusos
        • Registros de Supervisión de la actividad de los usuarios
        • Registros del Administrador de medios extraíbles
        • Reportes anónimos
        • Evaluaciones de desempeño
        • Reportes de conflictos de intereses

        Las organizaciones deben crear políticas y procedimientos de monitorizción antes de institucionalizar cualquier programa de este tipo. Los empleados deben ser informados (y recordar) de que el uso de cualquier sistema de información es monitorizado. Esto se hace típicamente a través de banners (recuadros informativos) de inicio de sesión y de la formación de conciencia de seguridad proporcionada a los usuarios antes de usar un sistema y mediante actualizaciones anuales.

        13. SUPERVISAR Y CONTROLAR EL "BYOD" Y EL ACCESO REMOTO

        Las organizaciones han estado avanzando hacia una fuerza de trabajo móvil, permitiendo a los empleados esencialmente trabajar desde cualquier lugar donde exista una conexión de datos. No obstante, deben ser conscientes de aquellas tecnologías de acceso remoto que utilizan sus empleados y cuáles son las amenazas potenciales que representan para los sistemas y datos de la organización.

        Las vulnerabilidades inherentes en el acceso remoto sugieren que las organizaciones deben construir múltiples capas de defensa contra los ataques remotos. Las organizaciones pueden proporcionar acceso remoto al correo electrónico y a datos no críticos, pero deben considerar seriamente limitar el acceso remoto a los datos y funciones más críticos y permitir el acceso remoto sólo desde los dispositivos administrados por la organización. En la medida de lo posible, el acceso a los datos o funciones que podrían causar daños importantes a la empresa debería limitarse a los empleados que se encuentran físicamente dentro del lugar de trabajo.

        El acceso del administrador del sistema a distancia debe limitarse al grupo más pequeño posible, aunque lo ideal es que se prohíba por completo. Aunque están de moda las políticas de BYOD (Bring Your Own Device, en español: coge tu propio dispositivo) las organizaciones que no pueden proporcionar a los teletrabajadores equipos de propiedad de la organización deberían considerar la posibilidad de restringir el acceso a los sistemas de la empresa mediante el uso de una pasarela de aplicación.

        Los dispositivos móviles pueden utilizarse para extraer datos. Hoy en día, muchos teléfonos tienen cámaras y micrófonos integrados que podrían utilizarse para:

        • Capturar información sensible de la empresa, como la información arquitectónica, dibujos, secretos comerciales, vulnerabilidades físicas o digitales existentes o información confidencial en general.
        • Las imágenes pueden almacenarse en el teléfono o enviarse inmediatamente desde el dispositivo a través del correo electrónico o del Servicio de Mensajería Instantánea.
        • Pueden sincronizar sus datos inmediatamente con el almacenamiento en la nube, servicios de medios sociales u ordenadores personales fuera del control administrativo de la organización.
        • Permiten la gestión remota de los activos de la organización con aplicaciones disponibles que permiten la gestión remota de los servidores, estaciones de trabajo y dispositivos de infraestructura de red.

          Cursos de Ciberinteligencia LISA Institute

          14. ESTABLECER UNA LÍNEA BASE DE COMPORTAMIENTO TANTO PARA LAS REDES COMO PARA LOS EMPLEADOS

          Hay varias herramientas disponibles para establecer una línea base de la actividad normal de la red e identificar anomalías. En los últimos años, han surgido herramientas especializadas para establecer una línea base del comportamiento normal de los empleados e identificar la actividad anómala.

          Con respecto a las redes, los ordenadores de cualquier red suelen necesitar comunicarse con un número relativamente pequeño de dispositivos. Los cortafuegos basados en el host se pueden configurar para permitir las comunicaciones sólo entre dispositivos autorizados, evitando que personas malintencionadas accedan a recursos de red no autorizados. Las organizaciones pueden tener políticas que definan los tiempos permitidos para el acceso a la red. Por ejemplo, pueden permitir a algunos empleados el acceso a la VPN sólo entre horas de trabajo, mientras que otros pueden tener acceso en cualquier momento.

          Las redes de una organización suelen utilizar un conjunto conocido de puertos y protocolos. Los dispositivos que se desvían de este conjunto conocido deben ser marcados para su revisión. Por ejemplo, las organizaciones suelen tener un servidor central de correo electrónico, por lo que una estación de trabajo que muestre tráfico SMTP puede ser motivo de preocupación, al igual que el uso de protocolos con un puerto no estándar. Las organizaciones deben revisar los registros del cortafuegos y del IDS para determinar los niveles de actividad normales. UN SIEM ayudará al personal de seguridad a examinar los registros de eventos y a establecer una línea de base de un cortafuegos normal y el comportamiento del IDS.

          Por su parte, los empleados tienden a desarrollar patrones en los archivos, carpetas y aplicaciones a las que acceden. Las desviaciones de la normalidad de un empleado en los patrones de acceso pueden ser indicativos de que el empleado accede a la información fuera de su necesidad de conocerla, infringiendo las políticas de la empresa como las políticas de uso aceptable y las políticas de propiedad intelectual, o intentando ocultar un comportamiento malicioso. Identificar actividades anómalas de los empleados en relación con sus compañeros (por ejemplo, de acoso o ciberacoso) también puede identificar a los empleados cuyas acciones no están en línea con sus funciones y responsabilidades dentro de la organización.

          15. HACER CUMPLIR LA SEPARACIÓN DE DEBERES Y EL MENOR PRIVILEGIO

          La separación de funciones requiere dividir las funciones entre varias personas para limitar la posibilidad de que un empleado pueda robar información o cometer fraude o sabotaje sin la cooperación de otros. Muchas organizaciones utilizan la regla de las dos personas para aquellas decisiones u operaciones más críticas, que requieren que dos personas participen en una misma tarea para que ésta se ejecute con éxito. Las organizaciones pueden utilizar controles técnicos o no técnicos para imponer la separación de funciones.

          Las organizaciones pueden mitigar el riesgo interno definiendo y separando los roles responsables de los procesos y funciones clave del negocio. Por ejemplo, las organizaciones podrían:

          • Requerir una autorización de gestión online para las transacciones de entrada de datos críticos
          • Implementar procesos de gestión de la configuración que permitan a un desarrollador y a un revisor comprobar, de forma independiente, los cambios en el código
          • Utilizar los procesos y la tecnología de gestión de la configuración para controlar las distribuciones de software y modificaciones del sistema
          • Requerir dos personas diferentes para realizar las funciones de copia de seguridad y restauración, o transferencias bancarias de cierto nivel
          • Diseñar procedimientos de auditoría para evitar el solape entre los auditores

          La separación efectiva de los deberes requiere la implementación de un mínimo de privilegios, o la autorización para que las personas utilicen sólo los recursos necesarios para hacer su trabajo. El menor privilegio también reduce el riesgo de robar información confidencial o de propiedad intelectual porque el acceso a ella se limita sólo a aquellos empleados que la necesitan para hacer su trabajo.

          16. DEFINIR ACUERDOS DE SEGURIDAD PARA CUALQUIER SERVICIO EN LA NUBE, ESPECIALMENTE LAS RESTRICCIONES DE ACCESO Y LAS CAPACIDADES DE MONITORIZACIÓN

          En la actualidad, las organizaciones disponen de cuatro tipos de servicios en la nube:

          1. Nube privada - operada únicamente por una organización
          2. Nube comunitaria - compartida por varias organizaciones
          3. Nube pública - disponible para cualquier cliente
          4. Nube híbrida - dos o más nubes (privadas, comunitarias o públicas) que están conectadas

          Es recomendable seguir las siguientes prácticas para protegerse contra los administradores "deshonestos" que actúan como Insiders:

          1. Especificar los requisitos de RRHH como parte de los contratos legales.
          2. Aplicar estrictamente la gestión de la cadena de suministro y evaluar a los proveedores.
          3. Determinar los procesos para la notificación de las violaciones de seguridad.
          4. Asegurar la transparencia en las prácticas generales de seguridad y gestión de la información.

          Para protegerse contra los Insiders que explotan las vulnerabilidades relacionadas con la nube y para asegurar una respuesta oportuna a los ataques en curso, las organizaciones deben crear un plan de respuesta a incidentes que incluya la verificación de credenciales fuera de línea. Los administradores de sistemas dentro de la organización deben estar familiarizados con las herramientas de configuración para sus sistemas basados en la nube, incluyendo los procedimientos para deshabilitar los servicios basados en la nube si es necesario.

          Las organizaciones deben utilizar herramientas y técnicas de prevención de pérdida de datos (DLP) para detectar datos confidenciales que se envían al almacenamiento basado en la nube. Además, los controles basados en la red o en el host también pueden impedir que los empleados accedan a determinados recursos externos de la nube.

          17. INSTITUCIONALIZAR LOS CONTROLES DE CAMBIO DEL SISTEMA

          Los controles de cambio son controles de seguridad que aseguran la exactitud, integridad, autorización y documentación de todos los cambios realizados en los sistemas informáticos y de red. Para desarrollar controles de cambio más fuertes, las organizaciones deben identificar las configuraciones básicas de software y hardware. Una organización puede tener varias configuraciones básicas, dadas las diferentes necesidades de computación e información de los diferentes usuarios.

          Las organizaciones deben proteger los registros de cambios y las copias de seguridad para poder detectar cambios no autorizados y, si es necesario, hacer retroceder el sistema a un estado válido anterior porque ha podido ser modificado por un Insider con el objetivo de ocultar su actividad o implicar a alguien más en sus acciones. De la misma manera que las organizaciones pueden implementar herramientas para detectar y controlar los cambios en el sistema, también deben implementar herramientas de gestión de la configuración para detectar y controlar los cambios en el código fuente y otros archivos de la aplicación. Sin embargo, una vez que el sistema está en producción y el desarrollo se estabiliza, algunas organizaciones relajan los controles, dejando una vulnerabilidad abierta a la explotación por parte de los técnicos.

          18. IMPLEMENTAR COPIAS DE SEGURIDAD Y PROCESOS DE RECUPERACIÓN

          La prevención es la primera línea de defensa contra los ataques internos. Sin embargo, existen Insiders que pueden encontrar maneras de comprometer un sistema. Las organizaciones como medida de prevención de Insiders deben realizar copias de seguridad y recuperación efectivas para sostener las operaciones del negocio con una mínima interrupción, si se produce un compromiso del sistema. Los estudios de caso muestran que los mecanismos eficaces de respaldo y recuperación pueden:

          1. Reducir de días a horas el tiempo de inactividad necesario para restaurar los sistemas desde las copias de seguridad.
          2. Evitar semanas de entrada manual de datos cuando las copias de seguridad actuales no están disponibles.
          3. Reducir de años a meses el tiempo necesario para reconstruir la información para la que no hay copias de seguridad.

          Las estrategias de respaldo y recuperación deben incluir:

          1. Acceso controlado a la instalación de almacenamiento de reserva
          2. Acceso controlado a los medios físicos
          3. La separación de funciones y la regla de las dos personas cuando se realizan cambios en el proceso de respaldo
          4. Administradores de copias de seguridad y recuperación separados

          19. CERRAR LAS PUERTAS A LA FILTRACIÓN DE DATOS NO AUTORIZADA

          Para mitigar el riesgo de que los Insiders eliminen (o expongan) datos de forma maliciosa (o no intencionada), la organización debe entender primero dónde y cómo se pueden eliminar. Debido a que muchos tipos de tecnologías y servicios podrían convertirse en puntos de salida de datos, una organización debe ser capaz de dar cuenta de todos los dispositivos que se conectan a su sistema, así como de todas las conexiones físicas e inalámbricas a sus sistemas, tales como:

          - Bluetooth

          • Transferencias inalámbricas de archivos

          - Pérdida de un dispositivo

          • Ordenador portátil
          • CD
          • Disco duro
          • Dispositivo móvil
          • Cualquier medios extraíble

          - Medios extraíbles

          • Memorias USB
          • CD-RW y/o DVD-RW
          • Teléfonos con almacenamiento
          • Tarjetas de medios (compact flash, tarjetas SD, etc.)
          • Proyectores con almacenamiento de datos
          • Cámaras y videograbadoras
          • Unidades USB (no flash)
          • Micrófonos
          • Cámaras web

          - Puntos de salida del enclave

          • Conexiones de Internet
          • Interconexiones con socios comerciales de confianza

          - Servicios de Internet

          • FTP, SFTP, SSH
          • Mensajería instantánea y chat en Internet (GChat, Facebook Chat, etc.)
          • Servicios en la nube (almacenamiento en línea, correo electrónico, etc.)

          - Impresoras, máquinas de fax, copiadoras y escáneres

          - Cualquier dispositivo conectado a la red, especialmente a Internet (Internet of Things o Internet of Everything)

          20. DESARROLLAR UN PROCEDIMIENTO INTEGRAL PARA EL DESPIDO DE EMPLEADOS

          Toda organización está viva. Hay empleados que se van y que vienen. Ya sea por renuncias, dimisiones, jubilaciones, enfermedad o despedido, los empleados dejan de trabajar para una organización. Todo proceso crítico debe ser debidamente planificado y monitorizado, así que para prepararse para la salida de un empleado, las organizaciones deben desarrollar políticas y procedimientos que abarquen todos los aspectos del proceso de finalización contractual. Una lista de verificación de terminación contractual puede ayudar a las organizaciones a rastrear los diversos pasos que un empleado necesita completar. Como mínimo, una lista de control de despido debe incluir:

          • La tarea a llevar a cabo.
          • Quién debe completar la tarea.
          • Quién debe verificar la finalización de la tarea.
          • Cuándo debe ser completada la tarea.
          • Firma con las iniciales de la persona que completa la tarea.

          La lista de verificación completada debería devolverse a RRHH antes de que el empleado abandone la organización. Además, las organizaciones deben llevar a cabo una revisión de las acciones online del empleado saliente antes, durante y después del despido. Esta revisión debería incluir la actividad del correo electrónico para garantizar que el empleado no ha enviado por correo electrónico datos confidenciales de la empresa fuera de la organización, como por ejemplo a una cuenta de correo electrónico personal o a un competidor.

          Si la organización permite a los empleados acceder a servicios de correo electrónico personales basados en la nube, la organización debe mantener registros de acceso, como los registros del servidor proxy, y servicios y datos de flujo de red para poder detectar el flujo de tráfico inusual. Además, la organización debe supervisar o bloquear cuidadosamente las soluciones de almacenamiento personal basadas en la nube para asegurarse de que los empleados no estén almacenando información confidencial de la empresa en la nube.

          Una vez que un empleado ha dejado la organización, el departamento de Recursos Humanos debe notificar a todos los empleados el despido del trabajador. RRHH puede ser reacio a hacerlo debido a cuestiones de privacidad o afectación al estado de ánimo, pero no es necesario que se explique cómo o por qué el empleado dejó la organización. Hay muchas formas de comunicarlo, muchas de ellas correctas. Un simple mensaje, como "Manuel Garrido ya no trabaja para la empresa. Por favor no revele información confidencial a Manuel Garrido" debería ser suficiente para notificar a los empleados.

          21. ADOPTAR INCENTIVOS POSITIVOS PARA ALINEAR LA FUERZA DE TRABAJO CON LA PRODUCTIVIDAD Y LA ORGANIZACIÓN

          Atraer a los empleados para que actúen en interés de la organización a través de los incentivos reducen el riesgo de amenazas internas de la organización. La combinación de incentivos y refuerzo de las funciones, mejora la efectividad y eficiencia de la detección y prevención de amenazas internas. Los incentivos positivos se centran en las propiedades del contexto organizativo de las prácticas de gestión de la fuerza de trabajo, incluidas las relacionadas con el trabajo de los empleados, su organización y las personas con las que trabajan:

          • El Compromiso Laboral implica el grado en que los empleados están entusiasmados y absorbidos por su trabajo. Se sabe que las inversiones en políticas basada en los puntos fuertes y en desarrollo profesional realizadas por el empleador, impulsan el compromiso laboral de los empleados. La gestión basada en los puntos fuertes se centra en la identificación y el uso de los puntos fuertes personales y profesionales de un individuo para dirigir su carrera y gestionar su rendimiento laboral.
          • El Apoyo Organizacional Percibido implica el grado en que los empleados creen que su organización valora sus contribuciones, se preocupa por su bienestar, apoya sus necesidades socio-emocionales y los trata de manera justa. Aquí, los programas que promueven la flexibilidad, el equilibrio entre el trabajo y la familia, la asistencia a los empleados, la alineación de la compensación con los puntos de referencia de la industria y la supervisión constructiva que atiende a las necesidades de los empleados pueden impulsar el apoyo organizativo percibido.
          • La Conectividad en el Trabajo implica el grado en que los empleados quieren interactuar, confiar y sentirse cerca de las personas con las que trabajan. Las prácticas que implican la creación de equipos y la rotación de puestos pueden aumentar el sentido de conexión interpersonal de los empleados, creando una experiencia de estar integrado en relaciones valiosas con los compañeros de trabajo, los gerentes y la organización en general.

           

          Lista de 21 medidas para detectar y prevenir Insiders en tu organización

           

          Y hasta aquí las 21 medidas para detectar y prevenir Insiders en tu organización. Dado que como se ha visto, el impacto de los Insiders en las organizaciones es muy crítico, si quieres proteger activamente a tu organización lo más recomendable es que te leas este otro artículo y que compartas con tu entorno personal y profesional este artículo para ayudarles a detectar y prevenir la amenaza interna, consiguiendo hacer del mundo un lugar más seguro, justo y protegido.

           

          Cursos de Analista de Inteligencia LISA Institute

          Quiero saber más sobre Análisis de Inteligencia, ¿qué hago?

          Si quieres ampliar información sobre cualquier ámbito de la Inteligencia Competitiva, Económica, Criminal o Policial, consulta estos artículos de nuestro blog:

          Si quieres empezar ya a formarte en inteligencia, te recomendamos los siguientes cursos online:

          Si quieres saber aún más

          Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia, Ciberseguridad y Geopolítica.