1

Controles para amenazas internas

Ya hemos hablado sobre qué son las amenazas internas, su relevancia y los riesgos que estas acarrean, ahora toca hablar de cómo prevenir, identificar y mitigar estos riesgos aplicando diversos controles. Para empezar a aplicar controles lo interesante es primero saber en qué situación se encuentra actualmente tu empresa y qué esfuerzos está poniendo en detener este tipo de amenazas.  En la página de SIRIUS Edge se nos plantean una serie de preguntas que podrían resultar interesantes para identificar el desempeño de nuestra empresa frente a estas amenazas para luego poder crear un programa que ayude a mitigarlas y prevenirlas [1].

  • ¿Has identificado y clasificado tus datos críticos?
  • ¿Has educado a tus usuarios sobre los procesos de tratamiento de los datos?
  • ¿Puede definir el comportamiento normal que debería tener el usuario?
  • ¿Eres capaz de identificar comportamientos anómalos?
  • ¿Tienes algún control de auditoría para dejar claro las necesidades de acceso y autorización de los usuarios?
  • ¿Tienes un programa efectivo de gestión de identidad y acceso (IAM)?
  • ¿Prestas especial atención a los usuarios con acceso privilegiado?
  • ¿Tienes alguna estrategia para auditar la adherencia a la política del usuario?
  • ¿Auditas de forma rutinaria las prácticas de seguridad de terceros que influyan en tu empresa?

En el propio artículo de SIRIUS Edge podemos encontrar puntos clave para montar un programa de auditoría y CISA (Cybersecurity & Infraestructure security agency) también menciona 5 puntos clave para la creación de programas de auditoría para amenazas internas [2]. Aunque estos mencionados sean interesantes he encontrado de mayor interés un artículo de LISA Instituto que da 21 puntos clave para detectar y prevenir insiders en tu organización [3]. En la foto podemos ver los 21 puntos que consideran claves. No voy a comentar todos los puntos ya que muchos creo que se explican por sí mismos. Me voy a centrar en el cómo desarrollar el programa formalizado de insider y en algunos puntos más que puedan resultar interesantes de hablar.

Crear un programa de insiders puede ser clave dentro de una empresa ya que proporciona un recurso que puede ayudar a abordar el problema de los insiders. El programa al final es una medida que adopta la empresa para detectar, prevenir y actuar de forma correcta frente a estas amenazas. LISA Institute menciona los componentes comunes que tienen estos programas según el CERT:

  • Programa formalizado y definido: Se tienen que definir la misión, las directrices a seguir, quienes son los encargados, la gobernanza y el presupuesto.
  • Participación de toda la organización: Es importante tener la participación de todos los componentes de la empresa para obtener datos que sean útiles en el programa.
  • Supervisión del cumplimiento y la eficacia del programa: Se crea un grupo que sirva como soporte al gerente del programa para generar nuevas ideas y cambios posibles en el programa. Para aprobar estos cambios y procedimientos que ha propuesto el equipo existe un grupo directivo. Es importante hacer evaluaciones anuales del programa, tanto desde dentro de la empresa como por parte de terceros.
  • Mecanismos y procedimientos de información confidencial: Se tiene que permitir que cualquiera pueda reportar alguna actividad sospechosa, pero que esa persona no salga perjudicada en el proceso.
  • Plan de respuesta a incidentes de amenazas internas: Se debe redactar un plan para gestionar las incidencias y alertas que surjan, como actuar, plazos de actuación y recursos necesarios.
  • Comunicación de eventos de amenazas internas: Es clave comunicar de estas alertas que vayan surgiendo siempre respetando la confidencialidad y la privacidad.
  • Protección de la libertades y derechos civiles de los empleados y clientes: Al implementar este programa se tiene que revisar cada proceso para asegurar que se respeta la privacidad de los implicados.
  • Políticas, procedimientos y prácticas: Redactar un documento detallando, la misión, el alcance, las directivas a seguir, las instrucciones y procedimientos estándar del programa.
  • Técnicas y prácticas de recogida y análisis de datos: Detallar qué técnicas de monitorización se van a realizar, así como que datos se van a recoger y cuál va a ser su tratamiento con tal de asegurar la privacidad de los datos.
  • Entrenamiento y concienciación sobre las amenazas internas: Es importante la creación de un programa de capacitación y concienciación. Creo que es un punto clave teniendo en cuenta que los empleados son los que realizan estos ataques muchas veces porque no están informados. La empresa tiene que informarles de que conductas son adecuadas y de cuáles no y concienciarse en cuanto a cómo repercute uno de estos incidentes en la empresa, en el mundo exterior e incluso en el propio empleado. En la página de CISA podemos encontrar videos, publicaciones e incluso enlaces a cursos que tratan el tema [4].
  • Infraestructura de prevención, detección y respuesta: Tener una infraestructura de defensa tanto física como en la red.
  • Prácticas de amenazas internas relacionadas con los socios comerciales de confianza: Revisar todos los contratos firmados con terceros para poder detectar posibles amenazas emergentes.
  • Integración de Insiders con la gestión de riesgos empresariales: En la gestión de riesgos se deben tener en cuenta las amenazas internas junto a todos los demás riesgos que puedan surgir en la empresa.

Entre los 21 puntos unos cuantos tratan el tema de la monitorización como por ejemplo el punto que habla de estar atentos a las redes sociales o las herramientas de monitorización de empleados. Creo que son clave a la hora de saber qué es lo que el empleado hace dentro de la empresa, pero también tiene su punto negativo y es que se puede llegar a atentar contra la privacidad del propio empleado. No sería el primer caso de despido por culpa de redes sociales y hasta cierto punto no tendría que afectar al puesto de trabajo de la persona. Se tiene que encontrar un punto de monitorización en el que la empresa sea capaz de detectar amenazas, pero sin llegar a privar al empleado de su privacidad, es decir un sistema donde el empleado esté a gusto y no sienta que le están invadiendo su espacio privado. Para ello es importante informar en todo momento al empleado de cómo se le monitoriza y qué información se recopila en ese proceso.

En conclusión, si miramos a los 21 puntos veremos que existen muchos pasos a seguir para mitigar estas amenazas, pero es importante ver hasta qué punto podemos realizar tareas de monitorización de empleados sin atacar directamente a su privacidad.

Otro punto que me ha parecido clave es el mantener un control estricto de los accesos que tienen los empleados a los sistemas y la información. Sólo permitir acceso a personas que lo necesitan hace que los datos y los sistemas no estén tan expuestos como si toda la empresa tuviese acceso a ellos. Buscando documentos relevantes sobre amenazas internas en Océano me ha sorprendido como gran parte de los artículos tratan este tema. Mencionar en concreto uno de Suhair Alshehri que habla sobre la importancia de mantener controlados los accesos en el sistema sanitario para evitar amenazas internas [5]. Algo que en una empresa puede suponer una brecha de datos en el sistema sanitario puede poner en juego la vida de las personas, por lo que es un tema clave. Debemos tener en cuenta que a diferencia de los atacantes externos los internos ya tienen credenciales y acceso a la zona de trabajo por lo que les estamos dando facilidades de fastidiarlo todo.

P.S: Investigando sobre el tema de los controles he encontrado un report de 2020 que contiene datos interesantes sobre las amenazas internas. Podría servir como complemento a lo ya tratado en el segundo post sobre la relevancia. [6]

REFERENCIAS

[1] <<5 Keys to Addressing Insider Threats>>, SIRIUS Edge, acceso el 21 de noviembre de 2020, https://edge.siriuscom.com/security/5-keys-to-addressing-insider-threats#:~:text=Two%20key%20controls%20for%20reducing,behavior%20by%20a%20single%20actor.

[2] <<ESTABLISH A COMPREHENSIVE INSIDER THREAT PROGRAM>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/establish-program

[3] <<Lista de 21 medidas para detectar y prevenir Insiders en tu organización>>, LISA Institute, acceso el 21 de noviembre de 2020, https://www.lisainstitute.com/blogs/blog/medidas-para-detectar-y-prevenir-insiders

[4] <<INSIDER THREAT – TRAINING & AWARENESS>>, CISA, acceso el 21 de noviembre de 2020, https://www.cisa.gov/training-awareness

[5] Suhair, Alshehri. 2016. << Using Access Control to Mitigate Insider Threats to Healthcare Systems>>. Paper. IEEE International Conference on Healthcare Informatics. Océano.

[6] <<Insider Threat Report>>, Cybersecurity Insiders, acceso el 22 de noviembre de 2020, https://www.cybersecurity-insiders.com/wp-content/uploads/2019/11/2020-Insider-Threat-Report-Gurucul.pdf




Adentrándonos en la identidad digital (Parte 1)

Hoy en día y cada vez más nuestros archivos, trabajos, investigaciones,… incluso parte de nuestra diversión, se encuentran en medios digitales a los cuales tenemos que acceder. Para ello debemos  identificarnos, pero el sistema no puede reconocernos directamente, debemos usar una identidad digital propia, pero…  ¿Sabemos cómo es realmente una identidad digital? ¿De qué características se compone? Salgamos de dudas.identificacion-digital

La identidad digital es un conjunto de información y recursos proporcionados por un sistema informático a un usuario en particular, mediante los cuales pasar un proceso de identificación digital. En un sentido más amplio que es el conjunto de información disponible en línea y sobre una persona / organización / marca / etc.

Características de la identidad digital

La representación de la identidad digital debe ser mucho más amplia y compleja  que  la transacción en la que está involucrado. De hecho, el grado de fiabilidad y la cantidad de información requerida puede variar muy significativamente dependiendo del tipo de transacción.

Una identidad digital se divide en dos partes:

  • De quien es (la identidad)
  • Las credenciales que uno posee (los atributos de esa identidad)

Las credenciales pueden ser numéricamente y cualitativamente muy variadas  y tienen diferentes usos. La identidad digital completa es bastante compleja y tiene implicaciones tanto legales como técnicas. Sin embargo, la identidad digital más fácil consta de un ID (o nombre de usuario) y una palabra de identificación secreta (o contraseña). En este caso, el nombre de usuario es la identidad y la contraseña las credenciales de autenticación. Pero la identidad digital puede ser tan compleja como una identidad humana real.

Autenticación

Cuando en las transacciones se demuestra que la identidad digital presentada es de quién o qué dice ser, hablamos del proceso de autenticación.

Scanning of a fingerprint with new technologies

La autenticación de un solo factor (el que tiene nombre de usuario y contraseña antes visto), está claro que no es lo más seguro, ya que la contraseña puede ser adivinada por alguien que no sea el usuario real. Por eso, que haya múltiples factores de identificación pueden hacerla más segura, como por ejemplo: que exista  una clave de seguridad física, como puede ser una tarjeta magnética  («algo que tienes») y una contraseña («algo que sabes»). Si encima agregamos datos biométricos (como pueden ser: iris, huella digital, impresión de voz, reconocimiento facial, etc.) también añadiríamos otro factor de autenticación basado en «algo que está». Estos 3 factores unidos hacen prácticamente inviable cualquier usurpación de identidad digital, ya que, quien desee acceder, deberá ser igual que tú, tener lo que tú tienes y saber lo que tú sabes.

Autorización o Control de Acceso

Este es el siguiente nivel después de que las identidades digitales sean autenticadas. A menudo se trata de la concesión de la utilización de toda la identidad digital en una transacción, tales como el inicio de sesión de un usuario a un sitio. En otros casos, el control de acceso puede permitir o restringir el acceso a la información privada o permitir el acceso a los productos o servicios por una tarifa.

Continuará…