Ya hemos hablado sobre qu茅 son las amenazas internas, su relevancia y los riesgos que estas acarrean, ahora toca hablar de c贸mo prevenir, identificar y mitigar estos riesgos aplicando diversos controles. Para empezar a aplicar controles lo interesante es primero saber en qu茅 situaci贸n se encuentra actualmente tu empresa y qu茅 esfuerzos est谩 poniendo en detener este tipo de amenazas. En la p谩gina de SIRIUS Edge se nos plantean una serie de preguntas que podr铆an resultar interesantes para identificar el desempe帽o de nuestra empresa frente a estas amenazas para luego poder crear un programa que ayude a mitigarlas y prevenirlas [1].
- 驴Has identificado y clasificado tus datos cr铆ticos?
- 驴Has educado a tus usuarios sobre los procesos de tratamiento de los datos?
- 驴Puede definir el comportamiento normal que deber铆a tener el usuario?
- 驴Eres capaz de identificar comportamientos an贸malos?
- 驴Tienes alg煤n control de auditor铆a para dejar claro las necesidades de acceso y autorizaci贸n de los usuarios?
- 驴Tienes un programa efectivo de gesti贸n de identidad y acceso (IAM)?
- 驴Prestas especial atenci贸n a los usuarios con acceso privilegiado?
- 驴Tienes alguna estrategia para auditar la adherencia a la pol铆tica del usuario?
- 驴Auditas de forma rutinaria las pr谩cticas de seguridad de terceros que influyan en tu empresa?
En el propio art铆culo de SIRIUS Edge podemos encontrar puntos clave para montar un programa de auditor铆a y CISA (Cybersecurity & Infraestructure security agency) tambi茅n menciona 5 puntos clave para la creaci贸n de programas de auditor铆a para amenazas internas [2]. Aunque estos mencionados sean interesantes he encontrado de mayor inter茅s un art铆culo de LISA Instituto que da 21 puntos clave para detectar y prevenir insiders en tu organizaci贸n [3]. En la foto podemos ver los 21 puntos que consideran claves. No voy a comentar todos los puntos ya que muchos creo que se explican por s铆 mismos. Me voy a centrar en el c贸mo desarrollar el programa formalizado de insider y en algunos puntos m谩s que puedan resultar interesantes de hablar.

Crear un programa de insiders puede ser clave dentro de una empresa ya que proporciona un recurso que puede ayudar a abordar el problema de los insiders. El programa al final es una medida que adopta la empresa para detectar, prevenir y actuar de forma correcta frente a estas amenazas. LISA Institute menciona los componentes comunes que tienen estos programas seg煤n el CERT:
- Programa formalizado y definido: Se tienen que definir la misi贸n, las directrices a seguir, quienes son los encargados, la gobernanza y el presupuesto.
- Participaci贸n de toda la organizaci贸n: Es importante tener la participaci贸n de todos los componentes de la empresa para obtener datos que sean 煤tiles en el programa.
- Supervisi贸n del cumplimiento y la eficacia del programa: Se crea un grupo que sirva como soporte al gerente del programa para generar nuevas ideas y cambios posibles en el programa. Para aprobar estos cambios y procedimientos que ha propuesto el equipo existe un grupo directivo. Es importante hacer evaluaciones anuales del programa, tanto desde dentro de la empresa como por parte de terceros.
- Mecanismos y procedimientos de informaci贸n confidencial: Se tiene que permitir que cualquiera pueda reportar alguna actividad sospechosa, pero que esa persona no salga perjudicada en el proceso.
- Plan de respuesta a incidentes de amenazas internas: Se debe redactar un plan para gestionar las incidencias y alertas que surjan, como actuar, plazos de actuaci贸n y recursos necesarios.
- Comunicaci贸n de eventos de amenazas internas: Es clave comunicar de estas alertas que vayan surgiendo siempre respetando la confidencialidad y la privacidad.
- Protecci贸n de la libertades y derechos civiles de los empleados y clientes: Al implementar este programa se tiene que revisar cada proceso para asegurar que se respeta la privacidad de los implicados.
- Pol铆ticas, procedimientos y pr谩cticas: Redactar un documento detallando, la misi贸n, el alcance, las directivas a seguir, las instrucciones y procedimientos est谩ndar del programa.
- T茅cnicas y pr谩cticas de recogida y an谩lisis de datos: Detallar qu茅 t茅cnicas de monitorizaci贸n se van a realizar, as铆 como que datos se van a recoger y cu谩l va a ser su tratamiento con tal de asegurar la privacidad de los datos.
- Entrenamiento y concienciaci贸n sobre las amenazas internas: Es importante la creaci贸n de un programa de capacitaci贸n y concienciaci贸n. Creo que es un punto clave teniendo en cuenta que los empleados son los que realizan estos ataques muchas veces porque no est谩n informados. La empresa tiene que informarles de que conductas son adecuadas y de cu谩les no y concienciarse en cuanto a c贸mo repercute uno de estos incidentes en la empresa, en el mundo exterior e incluso en el propio empleado. En la p谩gina de CISA podemos encontrar videos, publicaciones e incluso enlaces a cursos que tratan el tema [4].
- Infraestructura de prevenci贸n, detecci贸n y respuesta: Tener una infraestructura de defensa tanto f铆sica como en la red.
- Pr谩cticas de amenazas internas relacionadas con los socios comerciales de confianza: Revisar todos los contratos firmados con terceros para poder detectar posibles amenazas emergentes.
- Integraci贸n de Insiders con la gesti贸n de riesgos empresariales: En la gesti贸n de riesgos se deben tener en cuenta las amenazas internas junto a todos los dem谩s riesgos que puedan surgir en la empresa.
Entre los 21 puntos unos cuantos tratan el tema de la monitorizaci贸n como por ejemplo el punto que habla de estar atentos a las redes sociales o las herramientas de monitorizaci贸n de empleados. Creo que son clave a la hora de saber qu茅 es lo que el empleado hace dentro de la empresa, pero tambi茅n tiene su punto negativo y es que se puede llegar a atentar contra la privacidad del propio empleado. No ser铆a el primer caso de despido por culpa de redes sociales y hasta cierto punto no tendr铆a que afectar al puesto de trabajo de la persona. Se tiene que encontrar un punto de monitorizaci贸n en el que la empresa sea capaz de detectar amenazas, pero sin llegar a privar al empleado de su privacidad, es decir un sistema donde el empleado est茅 a gusto y no sienta que le est谩n invadiendo su espacio privado. Para ello es importante informar en todo momento al empleado de c贸mo se le monitoriza y qu茅 informaci贸n se recopila en ese proceso.
En conclusi贸n, si miramos a los 21 puntos veremos que existen muchos pasos a seguir para mitigar estas amenazas, pero es importante ver hasta qu茅 punto podemos realizar tareas de monitorizaci贸n de empleados sin atacar directamente a su privacidad.
Otro punto que me ha parecido clave es el mantener un control estricto de los accesos que tienen los empleados a los sistemas y la informaci贸n. S贸lo permitir acceso a personas que lo necesitan hace que los datos y los sistemas no est茅n tan expuestos como si toda la empresa tuviese acceso a ellos. Buscando documentos relevantes sobre amenazas internas en Oc茅ano me ha sorprendido como gran parte de los art铆culos tratan este tema. Mencionar en concreto uno de Suhair Alshehri que habla sobre la importancia de mantener controlados los accesos en el sistema sanitario para evitar amenazas internas [5]. Algo que en una empresa puede suponer una brecha de datos en el sistema sanitario puede poner en juego la vida de las personas, por lo que es un tema clave. Debemos tener en cuenta que a diferencia de los atacantes externos los internos ya tienen credenciales y acceso a la zona de trabajo por lo que les estamos dando facilidades de fastidiarlo todo.
P.S: Investigando sobre el tema de los controles he encontrado un report de 2020 que contiene datos interesantes sobre las amenazas internas. Podr铆a servir como complemento a lo ya tratado en el segundo post sobre la relevancia. [6]
REFERENCIAS
[1] <<5 Keys to Addressing Insider Threats>>, SIRIUS Edge, acceso el 21 de noviembre de 2020, https://edge.siriuscom.com/security/5-keys-to-addressing-insider-threats#:~:text=Two%20key%20controls%20for%20reducing,behavior%20by%20a%20single%20actor.
[2] <<ESTABLISH A COMPREHENSIVE INSIDER THREAT PROGRAM>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/establish-program
[3] <<Lista de 21 medidas para detectar y prevenir Insiders en tu organizaci贸n>>, LISA Institute, acceso el 21 de noviembre de 2020, https://www.lisainstitute.com/blogs/blog/medidas-para-detectar-y-prevenir-insiders
[4] <<INSIDER THREAT – TRAINING & AWARENESS>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/training-awareness
[5] Suhair, Alshehri. 2016. << Using Access Control to Mitigate Insider Threats to Healthcare Systems>>. Paper. IEEE International Conference on Healthcare Informatics. Oc茅ano.
[6] <<Insider Threat Report>>, Cybersecurity Insiders, acceso el 22 de noviembre de 2020, https://www.cybersecurity-insiders.com/wp-content/uploads/2019/11/2020-Insider-Threat-Report-Gurucul.pdf
Egoitz Aranzabal Calvo
Latest posts by Egoitz Aranzabal Calvo (see all)
- Carpe Diem - 5 enero, 2021
- Amenazas Internas en La Industria del Videojuego - 24 noviembre, 2020
- Controles para amenazas internas - 22 noviembre, 2020
Muy bien, muy completo y bien enfocado. Has dado con buenas fuentes y has a帽adido tu reflexi贸n.