Gestionando el eslabón más débil de la ciberseguridad…
El 71% de los ataques cibernéticos reportados se origina en amenazas internas. Los ataques muchas veces no tenían intenciones maliciosas por parte de los colaboradores de la compañía, pero comprometieron la seguridad de la red de sus organizaciones.
Así pues, el eslabón más débil en ciberseguridad son las amenazas internas surgidas desde su propia gente. Estas amenazas se clasifican en activas (intencionales) o pasivas (no intencionales). La diferencia radica en si el perpetrador está actuando de manera malintencionada o si ha sido engañado para realizar una acción que podría permitir a terceros acceder a la red.
Las amenazas internas pasivas involucran a usuarios con carente o deficiente educación en ciberseguridad, es decir; que están mal informados o que trabajan en un entorno con una postura de seguridad deficiente. Son personas o usuarios víctimas de la ingeniería social, el phishing, el uso del engaño para obtener información que luego se utilizará con fines fraudulentos. Una amenaza pasiva se desencadena cuando un usuario, por ejemplo; hace clic en un enlace en un correo electrónico de phishing o se le engaña para que revele las credenciales de seguridad a un intruso que se hace pasar por alguien más dentro de la organización
En la amenaza activa, un empleado malintencionado podría intentar robar información para obtener ganancias financieras o para afectar a la empresa.
Para combatir las amenazas internas, las organizaciones deben evangelizar sobre una cultura de ciberseguridad que eduque a sus trabajadores, en destrezas básicas como aprender a detectar correos electrónicos maliciosos y cómo intuir signos de otros empleados con intenciones maliciosas.
La participación activa de los empleados en la cultura de ciberseguridad es crucial. Acciones como notificar al Departamento de TI cuando un empleado abandona la empresa para cancelar los privilegios de acceso, son detalles importantes para la ciberseguridad. La política del mínimo privilegio lo es también, de esta forma se inhibe a los colaboradores disgustados a acceder la red empresarial o a sus recursos, para causar daños. En el nivel de red, las organizaciones deben garantizar que los usuarios regulares tengan privilegios de acceso adecuadamente limitados y que no se les otorgue control administrativo de forma predeterminada.
Igualmente, la segregación de sistemas críticos y la seguridad basada en roles, la segmentación lógica de la red, también puede ayudar a proteger el ecosistema. Aislar o poner en cuarentena usuarios, sistemas o equipos con comportamientos sospechosos, segregar los límites de los sistemas para prevenir qué un atacante pueda acceder, o que en caso de una infección de malware una computadora infectada o comprometida pueda ser usada para distribuir maldad o ser usada como plataforma para ataques laterales.
El monitoreo de la actividad del usuario permite a las empresas detectar actividades sospechosas. Por ejemplo, una gran cantidad de tráfico que sale de la red podría ser un signo de que los datos son robados. El registro accesos fallidos y exitosos a archivos confidenciales o a recursos de la red, deben encabezar la lista. Esto requerirá definir los activos críticos en su red y asegurarse de utilizar controles en cuanto a quién puede acceder a esos activos. Sin embargo, debemos tener en cuenta que el registro es solo una parte del proceso. Es genial tener registros, pero si nadie está revisando esos registros, es como si no existieran.
Es común que las empresas permitan a terceros el acceso a ciertos elementos de sus redes. Estos terceros también deben ser monitoreados. Estos actores externos usualmente tienen el mismo acceso y conocimiento de las operaciones de la compañía que sus propios empleados, pero muchas compañías no brindan el mismo nivel de supervisión a estos terceros, como lo hacen con sus propios empleados. Así que debemos asegurarnos de aplicarles los mismos controles de seguridad, restringir el nivel de acceso que tienen, monitorear su actividad en la red y tener políticas claramente definidas que describan el “cómo, qué, cuándo” de cómo actuará el tercero en su red.
La seguridad debe gestionarse con un enfoque en capas y no depender de un solo tipo de tecnología. Es decir; incluir el uso de programas de prevención de pérdida de datos (DLP), firewalls de última generación (NGFW) o sistemas de prevención de intrusos (IPS).
Además, asegurar un adecuado plan de continuidad de negocios (BCP) y un adecuado y probado plan de recuperación ante desastres (DRP).
Sumado, controlar la movilidad de los colaboradores y el uso de dispositivos de empleados para fines del negocio (BYOD). Por ejemplo, tomar previsiones de ciberseguridad cuando un empleado viaja con dispositivos móviles, como el uso de redes privadas virtuales o túneles SSL/TLS (VPN) y la encriptación de los datos del dispositivo móvil.
La supervisión y el mantenimiento de los sistemas y el uso de firewall de aplicaciones Web (WAF), también desempeña un papel importante en el mantenimiento de una postura adecuada de seguridad de la información. Ser capaz de determinar si un ataque de red está relacionado con una amenaza activa o pasiva ayuda al departamento de TI de una organización a evaluar más rápidamente cómo responder.
Podríamos ahondar más en medidas para blindar la compañía en caso de que la cultura de ciberseguridad deba ser custodiada a fondo, tales como asegurar que todas las computadoras puedan detectar códigos maliciosos, utilizando programas antivirus y alojar sistemas de prevención de intrusos de punto final, mantener los sistemas operativos actualizados y parcheados, mantener registros de la actividad del usuario en la red para ver quién accede a qué tipo de archivos, monitorear el acceso VPN a la red para verificar si los empleados se están registrando en momentos inusuales y/o proporcionar una forma anónima para que los empleados informen si sus compañeros de trabajo comienzan a actuar de manera sospechosa.
Finalmente es una buena practicar realizar ensayos de ingeniería social externa y prueba de penetración programadas, pero no anunciadas. Ese tipo de ataques controlados, enfatiza la importancia del evangelismo en ciberseguridad al usuario y la necesidad de que tanto los empleados regulares, como la gerencia se apropien de la ciberseguridad de la empresa.
A través de políticas, educación y capacitación adecuadas, las organizaciones pueden reparar lo que se ha convertido en el eslabón más débil de la ciberseguridad: su propia gente.
