Un lobo en el rebaño

Cuando queremos proteger nuestra empresa de los atacantes que nos intentan robar información, es muy fácil mirar al exterior y buscar manera de no dejarlos entrar, el problema surge cuando el atacante ya está dentro. Muchas veces los atacantes son los propios integrantes de la empresa que ya sea de forma intencionada o no provocan brechas de información muy costosas para las empresas que además podría contener información privada de terceros. Este es un problema serio y que según pasan los años se está acentuando más. Por lo que he podido leer sobre unos estudios de Verizon, en 2016 un 25% de las empresas sufrieron por culpa de este tipo de amenazas y en 2018 aumentó a un 34% [1]. Lo más probable es que siga aumentando durante los años y sobre todo este 2020 debido a la implementación del modelo de trabajo remoto. Cada vez la gente es más consciente de la tecnología, lo que es bueno ya que puede concienciar a algunos, pero también puede facilitar a otros el dañar a la compañía.

A la hora de controlar estas situaciones es importante saber detectar qué tipo de empleados son los que provocan estos problemas. Cada tipo de atacante interno tiene sus maneras de generar problemas y cada uno tenemos que neutralizarlo de forma diferente. Creo que en muchas ocasiones este tipo de brechas se dan por empleados despreocupados, es decir los que ignoran cualquier norma de seguridad que les impone la empresa. Por sorprendente que parezca es muy sencillo que provoques una brecha de seguridad simplemente instalándose una aplicación sin autorización o insertando el pendrive que traes de tu casa. Otro agente importante que puede no actuar de forma maliciosa son los terceros. En este caso compradores, vendedores o empresas que contrates para servicios específicos. Una brecha en sus sistemas y puedes verte arrastrado al fango. Por otro lado, están los agentes claramente maliciosos, como podrían ser empleados enfadados con la empresa, agentes enviados por terceros o empleados que buscan sacar beneficio personal de los datos robados. [1]

Estoy seguro de que hay muchos, igual que a mí, se nos ocurren muchas maneras posibles para parar estas amenazas, pero el problema llega cuando la solución tiene que respetar la privacidad de los empleados. Sería muy sencillo, chequear a todos los empleados cuando entran y salen de la empresa o monitorizar cada clic que realizan durante el turno de trabajo, pero está claro que estas medidas no respetan en absoluto al empleado. En esto en concreto está el mayor reto de todos, en definir qué limites tiene la monitorización o control de los empleados para que se pueda respetar su privacidad.

Como alumno no he tenido experiencia en este ámbito, pero sí conozco experiencias de trabajadores en empresas donde tampoco existe una concienciación sobre el tema. Se podría decir que, en algunas empresas, la empresa en sí puede tener parte de la culpa. En un artículo de 2016 se comenta que solo el 26% de empresas tienen un programa para controlar estas amenazas [2] y aunque este porcentaje habrá subido con los años sigue siendo un problema vigente. Si pensamos en una compañía en la que los empleados no tienen conocimientos informáticos, como se supone que tenemos que confiar en que sepan andar con ojo a la hora de usar sus sistemas. Si yo preguntase en mi familia si meterían un pendrive cualquiera en el ordenador de su trabajo, la respuesta probable sería que si porque no tienen conocimiento sobre que conlleva el hacerlo. Hay un ejemplo claro que seguramente muchos hayamos vivido en casa, cuando dejamos un ordenador a nuestros padres y resulta que nos han instalado muchísimos plugin publicitarios o programas basura. Es tan sencillo como imaginar la repercusión de esto en una empresa multimillonaria que guarda datos importantes tanto suyos como de terceros donde la repercusión sería la pérdida de millones. 

Solo tenemos que ver los datos para darnos cuenta de la repercusión. The Ponemon Institute detalló en un estudio de 2018 que este tipo de incidentes podrían costarle unos $513.000 a una empresa, pudiendo al año llegar a costar $8.76 millones. Y si miramos a los datos de Accenture y Ponemon, que se reflejan en el artículo de Ekransystem [1], el coste de este tipo de amenazas es cada vez mayor con los años.

Ya he comentado al principio que el confinamiento ha incluso aumentado la amenaza ya que la gente ha estado trabajando desde sus ordenadores personales donde la empresa no puede controlar qué software está instalado y a que lugares accedes con él, aparte de añadir que gran parte de la gente no vive sola por lo que por ese ordenador pasan más personas que el empleado.

Para finalizar, pero sin entrar en detalle ya que será un tema a tratar en futuros post, comentar por encima unas claves que da ISACA para mitigar las amenazas. Ser prudentes a la hora de contratar empleados, tener políticas y procedimientos actualizados, entrenamiento de los empleados en el tema, mantener una cultura apropiada dentro de la organización y la monitorización de empleados respetando la privacidad del empleado [3]. Lo que a mi me queda claro es que, aunque también sea un problema informático y de TI, tiene mucha importancia el comportamiento humano y el saber entender cómo funcionan las personas de tu organización. El factor humano es clave para disminuir esta amenaza.

[1] << Insider Threat Statistics for 2020: Facts and Figures>>, Ekransystem, acceso el 30 de Septiembre de 2020, https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures

[2] Rudolf Carson. << Fighting the Insider Threat >>. Articulo. 27 de agosto de 2016. Silo.Tips.

[3] << Mitigating the Insider Threat>>, ISACA, acceso el 30 de Septiembre de 2020, https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2017/mitigating-the-insider-threat