[11/10/2020] De todas las amenazas digitales que enfrentan las organizaciones, la amenaza interna puede ser la más complicada de abordar, dado lo incómodo que puede sentirse sospechar que los propios colegas están cometiendo irregularidades. Es un desafío establecer sistemas y procesos que puedan atrapar a otros, pares o superiores con buena reputación, en un acto dañino.
En el Insider Risk Summit inaugural del mes pasado, expertos de corporaciones y firmas de ciberseguridad se reunieron para hablar sobre las principales tendencias que impulsan las amenazas de seguridad internas, y lo que los oficiales de seguridad deben saber al tratar de combatir esas amenazas. "No hay un tipo de amenaza, pero hay un aspecto común, que es que [los de adentro] buscan obtener activos críticos de la organización (personas, información, tecnología e instalaciones)”, afirmó Michael Theis, ingeniero jefe de interacción estratégica en el National Insider Threat del US Community Emergency Response Team, perteneciente a CERT, durante su discurso de apertura.
Theis basó la mayor parte de su charla en el modelo de fraude que el centro de amenazas de CERT ha construido en base a un conjunto de datos de 2.500 incidentes internos verificados, los cuales dieron como resultado sabotajes o amenazas corporativas. Es importante definir qué es exactamente una amenaza interna, afirmó Theis. "[Es] la posibilidad de que una persona, que tiene o haya autorizado el acceso a los activos de una organización, utilice su acceso, ya sea de forma maliciosa o no intencionada, para actuar de una manera que pueda afectar negativamente a la organización”. Las personas que podrían considerarse individuos con información privilegiada, abarcan una amplia gama de miembros de la organización -desde empleados actuales o anteriores a tiempo completo, empleados a medio tiempo, empleados temporales, contratistas y socios comerciales de confianza.
Las formas en que una persona con información privilegiada puede causar daños también son muy variadas. Incluyen fraude, robo de propiedad intelectual, sabotaje, espionaje, violencia en el lugar de trabajo, ingeniería social, divulgación accidental, pérdida o eliminación accidental de equipos o documentos.
Anticipar el comportamiento humano
Aunque los profesionales de la seguridad informática tienden a buscar indicadores técnicos de actos internos, las mejores pistas para evitar los ingresos o el daño a la reputación de las amenazas internas se encuentran en comprender el comportamiento humano. "Hay una cosa que es común y es que los seres humanos, a lo largo del tiempo, realmente dejan pruebas de su comportamiento”, afirmó Theis. El análisis de estas pruebas puede evitar eventos negativos. "En su mayor parte, lo que estamos tratando de hacer es adelantarnos al daño... y responder de una buena manera para evitar que ocurra el daño”.
Cuando se trata de sabotaje, el grupo de amenazas internas no se limita solo a los técnicos. "En uno de nuestros casos tuvimos a un individuo que estaba molesto, se fue a casa, tomó su arma y regresó y disparó al servidor. Literalmente disparó al rack del servidor del centro de datos y literalmente mató las computadoras”, afirmó Theis. "En la mayoría de las organizaciones afirman 'bueno, si hay un sabotaje de TI, tenemos cintas de respaldo y podemos simplemente restaurar el sistema'. Es un poco difícil hacer eso cuando ha sido asesinado cinéticamente. Ese es un tipo de sabotaje de TI”.
Algunas amenazas internas son involuntarias, como un caso en el que, a través de Twitter, un miembro del ejército publicó sus ubicaciones precisas cuando viajaba, u otros casos en los que las organizaciones no pudieron recuperar dispositivos electrónicos portátiles cuando los empleados se fueron. Fundamentalmente, las amenazas internas "realmente tienen que ver con el comportamiento. Se trata de seres humanos. Se trata de motivaciones sobre las que están trabajando”, afirmó Theis.
"Todo comienza con predisposiciones personales... algo que alguien tiene antes de venir a trabajar para usted. ¿Cómo es su temperamento, cómo manejan cierto tipo de cosas?” Agregue a eso los factores estresantes personales, profesionales y financieros que esas personas están manejando. Finalmente, y quizás lo más revelador, son los comportamientos preocupantes que exhiben.
Observar indicadores de comportamiento
"La organización recopila un indicador de comportamiento al menos un mes antes que el indicador técnico”, afirmó Theis, "por lo general, su actitud o cómo se están comportando con sus compañeros”.
Casi todos los riesgos internos están precedidos por cambios de comportamiento. "Los cambios de comportamiento, los problemas en el trabajo o los ambientes interpersonales preceden a los indicadores de riesgo técnico”, afirmó Elsine Van Os, psicóloga y directora ejecutiva de la consultora de inteligencia y seguridad, Signpost Six.
Van Os afirmó que el 97% de los iniciados ya tenían atención oficial por comportamientos preocupantes como violaciones de reglas, políticas, prácticas o comportamiento interpersonal inapropiado. Otras estadísticas clave que involucran riesgos internos: el 58% de los internos comunicaron sentimientos negativos, quejas, intenciones de dañar a la organización o un miembro antes de llevar a cabo un ataque y, en el 31% de los casos, otros tenían conocimiento específico de la intención, planes o actividades de ataque del interno, incluidos compañeros de trabajo, amigos o familiares.
"Esto significa que existe información disponible mucho antes de que una persona interna cometa actos internos. Se trata de conectar los puntos para evitar actos internos en primer lugar”, afirmó.
El papel del apoyo organizacional
La organización puede manejar esos comportamientos de manera inadaptada, como falta de atención, ausencia de proceso de evaluación de riesgos, investigación inadecuada, despido sumario u otras acciones que elevan el riesgo, afirmó Theis. Un enfoque más eficaz es ayudar al empleado. "Si estoy capturando el indicador de comportamiento, puedo llegar al punto en el que digo, 'averigüemos cuáles son los factores estresantes de esta persona y veamos si podemos ayudarlos'”, afirmó.
Theis enfatizó que uno de los factores más determinantes para predecir el riesgo interno, es si los empleados creen que cuentan con el apoyo de la organización. "Si usted se pone a pensar, tiene sentido. Puede que ame a las personas con las que trabajo, pero eso no significa que no pueda irme, e ir a trabajar a otro lugar y que esas personas me sigan. ¿Cuántas veces hemos visto eso?”
"Así que, con suerte, cuando una persona llega a tener un factor estresante, piensa 'esta organización es muy buena conmigo, amo a la gente con la que trabajo, me gusta mucho mi trabajo, no voy a hacer nada que la ponga en peligro actuando en contra de la organización misma'”, afirmó Theis.
Cómo la cultura de Tesla ayudó a frustrar un ataque
Como la mayoría de los otros expertos que hablaron en la cumbre, Christine Leslie, gerente senior de seguridad de la información en Tesla, cree que, para descubrir amenazas internas, la forma de usar la tecnología es más importante que la tecnología en sí. "En tecnología, muchas personas piensan que esta es la parte más importante del programa, pero lanzar tecnología al problema no le dará resultados”, afirmó.
"En nuestra experiencia, la forma en que está utilizando su stack de tecnología y sus herramientas es realmente la pieza más crítica aquí, en lugar de encontrar una solución que será una solución mágica. Comprenda la cultura de su empresa, y cree un programa de amenazas internas que realmente satisfaga las necesidades de la empresa”.
Tesla esquivó recientemente una importante amenaza interna en la que una banda de ransomware se acercó a un empleado. "Tuvimos un incidente reciente en las noticias que se debió a que un empleado informó algo. Una de las cosas que enfatizamos es que, si usted ve algo, lo comunique”, afirmó Leslie.
"Si alguien se le acerca, debe informarlo. Me gustaría darle a nuestro equipo una pequeña palmadita en la espalda, usted sabe que la educación y la conciencia que le dimos a nuestros empleados realmente abrió la vía para que ese empleado entienda que informar a seguridad y su gerente era lo correcto”.
Cynthia Brumfield, CSO (EE.UU.)