Llegamos a ustedes gracias a:



Reportajes y análisis

Las amenazas internas y cómo se pueden mitigar

Un informe de Vormetric identifica una preocupación generalizada y cómo puede abordarse.

[15/10/2013] Cualquier empleado con acceso a los datos confidenciales es una amenaza potencial, lo sepan o no. Incluso si no tienen malas intenciones, la naturaleza inherente de su privilegio es lo que lo hace tan peligroso.
Vormetric publicó recientemente su Informe sobre Amenazas 2013 que explora la naturaleza misma de estos peligros, a la vez que tasa los resultados de una encuesta que llevó a cabo durante dos semanas en agosto de este año. Los números, los cuales fueron tabulados en septiembre, indican las respuestas de 707 profesionales de TI a las preguntas sobre las amenazas internas y lo que eligen para combatirlas. No hace falta decir que el tema dominante de los resultados de la encuesta fue que las amenazas internas son una gran preocupación para casi todo el mundo.
Los encuestados probablemente estuvieron temerosos, al menos en parte, debido a lo que habían escuchado sobre las noticias de violaciones de datos y las amenazas internas, señala el CEO de Vormetric Alan Kessler. Se refirió a ejemplos recientes como los de Bradley Manning y Edward Snowden, y añadió que muchas empresas están empezando a ver estos problemas por sí mismas.
El CSO de Vormetric, por su parte, dijo que las empresas están preocupadas por las amenazas internas, ya que se dan cuenta de que más allá de un empleado granuja, queda la idea de los usuarios privilegiados, cuyas identidades son comprometidas.
"Esto se está convirtiendo en otro motivo de preocupación", agrega Cates, "la idea de privilegios sin control sobre los que estas empresas no tienen suficientes controles".
El informe también indica qué tipos específicos de información privilegiada son reconocidas por los encuestados como las mayores amenazas, con los empleados no técnicos con acceso legítimo a los datos sensibles de contabilidad con un 51% de los votos. Aunque puede que no necesariamente parezca obvio al principio, hay decenas de empleados que se ajustan a la descripción en cuestión, incluidos los empleados de recursos humanos, que suelen encontrarse en la necesidad de interactuar con información de identificación personal (PII).
"La pregunta es, ¿tiene un control adecuado sobre la forma en que interactúan con esta información?", pregunta Kessler. "Pero el aspecto técnico del control de este tipo de acceso es muy difícil, especialmente si está tratando de modernizar los sistemas más antiguos".
Cates añadió que los ejecutivos también encajaban aquí, ya que sus trabajos no son de carácter técnico, pero que a menudo necesitan tener acceso a información confidencial con el fin de hacer su trabajo.
"Ese es el punto central de los datos y la información, para que sea utilizable", agrega Cates. Él, sin embargo, tiene una sugerencia para mitigar esta amenaza.
"La educación y el empoderamiento de los usuarios de negocios es una buena manera de contrarrestar este problema", anota.
Con las amenazas internas representando un problema tan importante, otra solución obvia sería la de verificar los antecedentes completos de los empleados potenciales antes de contratarlos, para determinar si son o no son confiables. Mientras Cates sostiene que este es un procedimiento común en estos días, la parte difícil es limitar la exposición de los empleados a la información sensible, y a la vez de permitirles que ellos hagan su trabajo y funciones administrativas.
"Hay herramientas que ciegan a los operadores a la información sensible", señala Cates. "Las empresas tienen maneras de no exponer la información de sus sistemas a ciertos empleados".
Sin embargo, sorprendentemente los empleados en los que debe confiar para gestionar estos sistemas y proteger los datos dentro de ellos, son los que presentan el mayor riesgo. El informe indica que el 34% de los profesionales de la seguridad, dijeron que los administradores de TI fueron una de las mayores amenazas para sus organizaciones. Dicho esto, no siempre es una persona física o una persona real la que presenta el riesgo, añade Cates. El riesgo inherente es su privilegio.
"Usted puede ver lo que están haciendo los administradores de TI, pero ellos toman estas decisiones", señala Cates. "Dan fe, supervisan el flujo de datos, y determinan con qué aplicaciones de su empresa están interactuando".
Así que, desde una perspectiva de control, las empresas deben determinar si ¿pueden o necesitan ver la información sensible con el fin de hacer su trabajo? Una posible solución aquí, comenta Cates, es el control de lo que sus administradores de TI están tratando de hacer.
"Es importante entender lo que están haciendo con su información, porque son ellos los que la protegen", agrega Cates. "Hay que gestionar el privilegio, no al usuario".
Al parecer, eso es lo que muchas empresas están tratando de hacer. Los resultados de la encuesta indican que el 31% de los encuestados calificaron a las "herramientas de seguridad de red", como la protección más importante contra los ataques internos. Kessler explicó que esto podría incluir cualquier cosa, desde servidores de seguridad a la detección de intrusiones/servicios de protección (IDS/IPS) para soluciones de detección de malware basados en la red. Esto es, por supuesto, porque la mayor parte del tiempo, el malware se dirige a usuarios específicos en función de sus privilegios.
Kessler estuvo de acuerdo en que los privilegios de los guardianes deben ser supervisados, utilizando el servicio de correos como una metáfora. Ellos gestionan y entregan el correo, pero no tienen derecho o necesidad de ver lo que hay dentro. "Aquí, es lo mismo", señala. "Estamos limitando su capacidad de ver los datos, pero de tal forma que les permita hacer su trabajo".
Los empleados no siempre están en la oficina, sin embargo, ¿qué pasa con aquellos que tienen información privilegiada y con frecuencia están en la carretera? El uso de dispositivos móviles y la conexión a las redes empresariales desde localizaciones remotas representan riesgos inherentes, los cuales fueron abordados en el informe. Para poner el asunto en perspectiva, el 49% y 41% de los encuestados dijo que los datos de sus organizaciones eran más vulnerables en un dispositivo de escritorio/laptop o móvil, respectivamente.
Cates fue más allá de la estadística, sin embargo, y aclaró el significado de los números desde una perspectiva entre líneas. A menos que las empresas hayan permitido privilegios especiales para estos dispositivos, señala, no son más que los vectores a la información. Así que el verdadero riesgo no está localizado, pero todavía hay preocupación sobre dónde podrá aparecer.
"La cantidad real de datos o registros robados de estos dispositivos es bastante mínima", comenta. "No son más que una manera de entrar en los centros de datos. Pero hay una gran cantidad de riesgo en esos puntos finales".
Los empleados que acceden a la red o archivos de su empresa a distancia, según el informe Vormetric, representan una situación en la que las empresas deben tener en cuenta el contexto del usuario. Un director general, por ejemplo, debe tener acceso completo a todos los datos cuando él/ella está conectado a través de la LAN de la empresa, pero no cuando accede a los archivos de forma remota desde un cibercafé. Las medidas típicas actuales para el acceso remoto a menudo no son suficientes en este sentido, anota Cates.
"Tal como está ahora, la VPN no es lo suficientemente fuerte. Las cosas pueden ser falseadas", señala Cates. "Es necesario un mejor control del acceso y la actividad de base de datos. En el futuro, habrá alguna innovación donde se pueda obtener más información acerca de si su procedencia es segura".
El informe también sugiere que un enfoque viable para luchar contra las amenazas internas es una cobertura generalizada. Si bien esto puede plantear inquietudes acerca de si esto crea o no más trabajo para los equipos de seguridad, Cates sostiene que este no es el caso.
Cates sugirió la implementación de controles para que el acceso dependa de una "necesidad de saber". Las organizaciones pueden tener acceso privilegiado de distancia y el uso de métodos como el seguimiento de pulsaciones de teclas y auditoría pesada para proteger sus datos. Al adoptar un enfoque de la política de acceso a los datos y la reducción total de la propiedad, dijo, la idea de la cobertura generalizada de Vormetric no toma más tiempo o trabajo ya que reduce las cosas en las que deben enfocarse los equipos.
"Usted quiere hacerlo para que el único camino a su información sea a través de las puertas de entrada", señala Cates. "Ahora solo tengo que mirar las puertas delanteras. Mi tiempo está más centrado".
Kessler también habló de la 'des-perimeterization' y, más concretamente, el conocimiento de la situación al abordarse la seguridad. Si bien hay algunas soluciones que son específicas y tácticas, señala, a menudo son caras y requieren capacitación. Más bien, los equipos deben centrarse en el aspecto de la prevención y reacción de seguridad, y tratar de reducir los tiempos de reacción cuando se hace frente a una amenaza.
"Sí, hay opciones costosas, pero siempre se puede empezar por recoger solo la información sobre las amenazas para los tiempos de respuesta más rápidos", señala Kessler. "Hierva sus datos para descubrir problemas y acciones, y de esa manera la gente puede llegar al fondo de los problemas más rápido.
"Reduzca la superficie de ataque de las medidas preventivas, y luego resuelva problemas más rápido con su reacción".
Subvención Hatchimonji, CSO (EE.UU.)