PathMBA Vault

Site Banner
El futuro de las organizaciones habilitado por la tecnología y el talento.
Gestión de riesgos

El peligro desde dentro

por David M. Upton, Sadie Creese

Tome esto evaluación para ver qué tan resiliente es su organización ante los ciberataques internos y si está ayudando o perjudicando a la causa.

Todos conocemos el ciberataque de 2013 a Target, en el que unos delincuentes robaron los números de las tarjetas de pago de unos 40 millones de clientes y los datos personales de unos 70 millones. Esto empañó la reputación de la empresa, provocó la caída de sus beneficios y costó sus puestos de trabajo a su CEO y CIO. Lo que es menos conocido es que, aunque los ladrones eran forasteros, accedieron a los sistemas de la cadena minorista con las credenciales de un informante: uno de los vendedores de refrigeradores de la empresa.

La desgracia de Target es solo un ejemplo reciente de un fenómeno creciente. Los ataques externos —el hackeo generalizado de la propiedad intelectual desde China, el virus Stuxnet, las aventuras de gángsters de Europa del Este— reciben mucha atención. Sin embargo, los ataques que involucran a empresas conectadas o a empleados directos representan una amenaza más perniciosa. Las personas con información privilegiada pueden causar un daño mucho más grave que los piratas informáticos externos, porque tienen un acceso mucho más fácil a los sistemas y una ventana de oportunidades mucho mayor. Los daños que causan pueden incluir la suspensión de las operaciones, la pérdida de propiedad intelectual, el daño a la reputación, la caída en picado de la confianza de los inversores y los clientes y la filtración de información confidencial a terceros, incluidos los medios de comunicación. Según diversas estimaciones, cada año se producen al menos 80 millones de ataques internos en los Estados Unidos. Pero la cifra puede ser mucho mayor, porque a menudo no se denuncian. Está claro que su impacto ahora asciende a decenas de miles de millones de dólares al año.

Muchas organizaciones admiten que todavía no cuentan con las medidas de protección adecuadas para detectar o prevenir los ataques en los que participan personas con información privilegiada. Una de las razones es que siguen negando la magnitud de la amenaza.

Durante los últimos dos años, hemos dirigido un proyecto de investigación internacional cuyo objetivo es mejorar significativamente la capacidad de las organizaciones para descubrir y neutralizar las amenazas de personas con información privilegiada. Patrocinado por el Centro para la Protección de la Infraestructura Nacional (CPNI), que forma parte del servicio de seguridad MI5 del Reino Unido, nuestro equipo de 16 miembros incluye especialistas en seguridad informática, académicos de escuelas de negocios que trabajan en el gobierno corporativo, educadores de gestión, expertos en visualización de la información, psicólogos y criminólogos de Oxford, la Universidad de Leicester y la Universidad de Cardiff.

Nuestro enfoque interdisciplinario ha llevado a conclusiones que desafían los puntos de vista y las prácticas convencionales (consulte la barra lateral «Prácticas comunes que no funcionan»). Por ejemplo, muchas empresas ahora intentan impedir que los empleados utilicen los ordenadores del trabajo para acceder a sitios web que no están directamente relacionados con sus trabajos, como Facebook, sitios de citas y sitios políticos. Creemos que, en cambio, deberían dar a los empleados la libertad de ir a donde quieran en la web, pero utilizar software de seguridad fácilmente disponible para supervisar sus actividades, proporcionando así información importante sobre los comportamientos y las personalidades que ayude a detectar el peligro. En este artículo compartimos nuestras conclusiones sobre formas eficaces de minimizar la probabilidad de ataques internos.

Prácticas comunes que no funcionan

Las salvaguardias de ciberseguridad más comunes son mucho menos eficaces contra las personas con información privilegiada que contra las personas ajenas. Controles de acceso Las

Un riesgo poco apreciado

Las amenazas internas provienen de personas que explotan el acceso legítimo a los ciberactivos de una organización con fines no autorizados y maliciosos o que, sin saberlo, crean vulnerabilidades. Pueden ser empleados directos (desde limpiadores hasta altos directivos), contratistas o proveedores externos de servicios de datos e informática. (Edward Snowden, famoso por robar información confidencial de la Agencia de Seguridad Nacional de los Estados Unidos, trabajaba para un contratista de la NSA). Con este acceso legítimo, pueden robar, generar disrupción o dañar los sistemas informáticos y los datos sin que los detecten las soluciones de seguridad normales basadas en el perímetro, controles que se centran en los puntos de entrada y no en qué o quién está ya dentro.

Según Vormetric, una empresa líder en seguridad informática, el 54% de los directivos de las organizaciones grandes y medianas afirman que detectar y prevenir los ataques internos es más difícil hoy que en 2011. Es más, estos ataques están aumentando tanto en número como en porcentaje de todos los ciberataques denunciados: un estudio de KPMG reveló que pasaron del 4% en 2007 al 20% en 2010. Nuestras investigaciones sugieren que el porcentaje ha seguido aumentando. Además, los ataques externos pueden implicar la ayuda, consciente o inconsciente, de personas con información privilegiada. El incidente de Target es un buen ejemplo.

Causas del crecimiento

Varios factores del cambiante panorama de la TI explican esta creciente amenaza. No son particularmente sorprendentes, y esa es precisamente la cuestión. Las puertas que dejan a las organizaciones vulnerables a los ataques internos son mundanas y ubicuas.

Un aumento drástico del tamaño y la complejidad de la TI.

¿Sabe qué personas gestionan sus servicios basados en la nube, con quién convive en esos servidores y qué tan seguros son los servidores? ¿Qué tan confiables son quienes le proporcionan otras actividades subcontratadas, como centros de llamadas, logística, limpieza, recursos humanos y gestión de las relaciones con los clientes? En 2005, empleados de un centro de llamadas de Pune (India) defraudaron casi 350 000 dólares a cuatro titulares de cuentas de Citibank en Nueva York. Los culpables fueron los empleados de una empresa de software y servicios a la que Citibank había subcontratado el trabajo. Habían recopilado los datos personales, los PIN y los números de cuenta de los clientes.

Los sitios de la «Dark Web», donde intermediarios sin escrúpulos venden grandes cantidades de información confidencial, ahora abundan. En estos sitios clandestinos se vende de todo, desde las contraseñas y la información de las tarjetas de crédito de los clientes hasta la propiedad intelectual. Las personas con información privilegiada suelen estar dispuestas a dar acceso a esos activos a cambio de sumas muy inferiores a su valor en la calle, lo que contribuye a la industria de la «ciberdelincuencia como servicio».

Empleados que utilizan dispositivos personales para trabajar.

Cada vez más, las personas con información privilegiada —a menudo sin darse cuenta— exponen a sus empleadores a amenazas al trabajar con aparatos electrónicos. Nuestro equipo y otros han descubierto que los grupos de seguridad de las empresas no pueden hacer frente a los peligros que representa la explosión de estos dispositivos. Según un reciente informe de Alcatel-Lucent informe, unos 11,6 millones de dispositivos móviles en todo el mundo se infectan en cualquier momento, y las infecciones de malware móvil aumentaron un 20% en 2013.

La culpa no son solo los teléfonos inteligentes y las tabletas: los dispositivos pueden ser tan simples como memorias USB o tarjetas de memoria de los teléfonos. «La mejor manera de entrar en una empresa que no está preparada es rociar memorias USB infectadas con el logotipo de la empresa por todo el aparcamiento», afirma Michael Goldsmith, miembro de nuestro equipo y director asociado del Centro de Ciberseguridad de Oxford, en referencia al ataque de 2012 a DSM, una empresa química holandesa. «Seguro que algún empleado probará uno de ellos».

Se informó ampliamente de que los delegados que asistieron a una cumbre del G20 cerca de San Petersburgo en 2013 recibieron dispositivos de almacenamiento USB y cargadores de teléfonos móviles cargados de malware diseñados para ayudar a robar información. Y el gusano informático Stuxnet que saboteó la planta de refinación de uranio de Irán entre 2008 y 2010 fue según se informa introducido mediante memorias USB en sistemas no conectados a Internet.

La verdad es que todos somos vulnerables.

La explosión en las redes sociales.

Las redes sociales permiten que se filtre todo tipo de información de una empresa y se difunda por todo el mundo, a menudo sin que la empresa lo sepa. También ofrecen la oportunidad de contratar personas con información privilegiada y utilizarlas para acceder a los activos corporativos. La llamada estafa romántica, en la que un estafador sofisticado que se hace pasar por pretendiente en un sitio web de citas engaña o engaña a un empleado para que comparta datos confidenciales, ha demostrado ser particularmente eficaz. Otras estrategias incluyen utilizar los conocimientos adquiridos en las redes sociales para presionar a los empleados: un ciberchantajista puede amenazar con borrar archivos del ordenador o instalar imágenes pornográficas en el ordenador de la oficina de la víctima, a menos que se entregue información confidencial.

Por qué lo hacen

Varios estudios de casos gubernamentales y privados han demostrado que las personas con información privilegiada que participan a sabiendas en ciberataques tienen una amplia gama de motivaciones: beneficio económico, venganza, deseo de reconocimiento y poder, respuesta al chantaje, lealtad a otros miembros de la organización y creencias políticas.

Un ejemplo del que nos enteramos durante nuestra investigación fue un ataque en 2014 por parte de un pretendiente rechazado a una empresa pequeña pero en crecimiento de formación virtual. Un gerente de allí se había quejado a su superior sobre la persona en cuestión, un administrador de sistemas que le había estado enviando flores en el trabajo y mensajes de texto inapropiados y que pasaba continuamente por delante de su casa. Una vez rechazado rotundamente, el atacante corrompió la base de datos de vídeos de formación de la empresa e hizo que las copias de seguridad fueran inaccesibles. La empresa lo despidió. Pero al saber que no había pruebas de su culpabilidad, lo chantajeó por varios miles de euros amenazando con dar a conocer su falta de seguridad, lo que podría haber perjudicado una próxima OPI. Este costoso incidente, como la mayoría de los demás delitos internos, no se denunció.

Los gerentes en la oscuridad

Preguntamos a 80 altos directivos sobre su conocimiento de las amenazas de ciberseguridad internas y realizamos un seguimiento con estudios de casos detallados sobre incidentes

La colaboración interna con el crimen organizado y los grupos de activistas es cada vez más común. Muchos países cuentan ahora con equipos de preparación para emergencias informáticas (CERT) para protegerse de este y otros tipos de ataques. De los 150 casos que analizó el Centro de Amenazas Internas del CERT de la Universidad Carnegie Mellon en 2012 informe En primer plano: personas con información privilegiada malintencionada y actividad del crimen organizado, El 16% tenía vínculos con el crimen organizado.

Un caso fue el robo en 2012 por parte de una banda rusa de detalles de 3,8 millones de cuentas bancarias no cifradas y casi 4 millones de declaraciones de impuestos del Departamento de Hacienda de Carolina del Sur. Los análisis forenses mostraron que el ataque lo facilitó un empleado que hizo clic en un enlace de un correo electrónico, lo que permitió a la banda robar las credenciales del empleado y acceder a los servidores de datos del estado.

Monica Whitty, psicóloga de la Universidad de Leicester y miembro de nuestro equipo, y muchas otras afirman que las personas con información privilegiada que ayudan o participan voluntariamente en ciberataques sufren una o más afecciones de la «tríada oscura»: maquiavelismo, narcisismo y psicopatía. Apoyando este punto de vista, un 2013 estudio del CPNI descubrió que los atacantes internos suelen tener alguna combinación de estos rasgos de personalidad: inmadurez, baja autoestima, amoralidad o falta de ética, superficialidad, tendencia a fantasear, inquietud e impulsividad, falta de escrupulosidad, manipulatividad e inestabilidad.

Roger Duronio, administrador de sistemas de gestión patrimonial de UBS condenado por utilizar una «bomba lógica» maliciosa para dañar la red informática de la empresa en 2006, mostraba varias de estas características. Duronio estaba preocupado por la seguridad de su trabajo y se puso furioso cuando recibió solo 32 000 dólares de la bonificación de 50 000 dólares que esperaba. Así que puso en corto las acciones de la empresa y hizo estallar la bomba. Derribó hasta 2000 servidores en las oficinas de UBS en los Estados Unidos; algunos de ellos no pudieron realizar operaciones durante varias semanas. La empresa sufrió 3,1 millones de dólares en costes directos y millones de dólares más en pérdidas incidentales no reveladas. Duronio fue sentenciado a 97 meses de prisión por el delito.

Cómo pensar en el problema

Gestionar las amenazas de ciberseguridad internas es como gestionar la calidad y la seguridad. Todos fueron alguna vez responsabilidad de un departamento especializado. Sin embargo, las organizaciones ya no pueden anticipar todos los riesgos, porque el entorno tecnológico es muy complejo y cambia constantemente. Por lo tanto, los líderes de las empresas grandes y pequeñas necesitan que todos los miembros de la organización participen. Estas son cinco medidas que deben tomar de inmediato:

Adopte una política sólida de información privilegiada.

Esto debería abordar lo que las personas deben hacer o no hacer para disuadir a las personas con información privilegiada que introducen riesgos por descuido, negligencia o errores. La política debe ser concisa y fácil de entender, acceder y cumplir para todos, no solo para los especialistas en seguridad y tecnología. Las normas deben aplicarse a todos los niveles de la organización, incluida la alta dirección. Un marco proporcionado por el estado de Illinois es un modelo. Aquí tiene un enlace.

Los empleados deberían disponer de herramientas que les ayuden a cumplir la política. Por ejemplo, los sistemas se pueden diseñar para que muestre un mensaje de advertencia en la pantalla cuando alguien intente iniciar sesión en un subsistema que contiene materiales sensibles. El sistema podría preguntar si la persona está autorizada a estar allí y grabar y rastrear a las que no lo están.

Lectura adicional

El mito de la informática segura

IT Característica

  • Robert D. Austin y Christopher A. R. Darby

Los gerentes deberían ver la seguridad informática como un desafío operativo más que técnico.

SaveShare

Las infracciones de la política deberían conllevar sanciones. Obviamente, un empleado que cometa un delito grave, como vender datos personales de clientes o insertar malware a sabiendas en los sistemas de la empresa, debería ser despedido y procesado. La primera infracción por algo menos grave, como compartir contraseñas para permitir que compañeros de confianza accedan a los sistemas corporativos, podría provocar una advertencia que figuraría en el registro del empleado.

También debería ayudar a los empleados a entender cómo realizar las tareas del día a día de forma segura. La política debería reforzarse periódicamente con sesiones informativas y campañas de comunicación interna, que pueden incluir pósters en el lugar de trabajo. Algunas empresas proyectan vídeos que muestran cómo las infracciones de las políticas pueden provocar ciberataques y cómo unas prácticas más seguras podrían haberlos evitado.

Crear conciencia.

Sea abierto sobre las posibles amenazas para que la gente pueda detectarlas y esté en guardia contra cualquiera que intente obtener su ayuda en un ataque. Personalice la formación para tener en cuenta los tipos de ataques que podrían sufrir los trabajadores de una operación en particular. La suplantación de identidad es una forma común de entrar: los correos electrónicos falsos engañan a los empleados para que compartan datos personales o códigos de acceso o para que hagan clic en un enlace que descarga malware. (Mucha gente no se da cuenta de que la dirección «de» de un correo electrónico es fácil de falsificar.) Es posible poner a prueba la vulnerabilidad de su personal ante este tipo de ataques, ya sea por su cuenta o mediante un servicio de seguridad externo.

¿Qué puede hacer?

Algunas de las actividades más importantes que los líderes no tecnológicos deberían pedir a sus departamentos de TI son: supervisar todo el tráfico que sale de las redes

Aun así, puede resultar difícil defender a los de dentro contra un forastero decidido. En abril de 2013, una multinacional francesa fue objeto de un ingenioso ataque. El asistente administrativo de un vicepresidente recibió un correo electrónico que hacía referencia a una factura de un servicio de intercambio de archivos basado en la nube. Tuvo la sensatez de no abrir el expediente, pero minutos después recibió una llamada de alguien que, de manera convincente, afirmó ser otro vicepresidente de la empresa y le indicó que descargara y procesara la factura. Ella cumplió. La factura contenía un troyano de acceso remoto que permitía a una empresa delictiva con sede aparentemente en Ucrania tomar el control de su ordenador, registrar sus pulsaciones de teclado y robar la propiedad intelectual de la empresa.

Anime a los empleados a denunciar tecnologías inusuales o prohibidas (por ejemplo, un disco duro portátil en una oficina donde los empleados suelen acceder a los datos y al software a través de la red) y su comportamiento (un empleado o un vendedor no autorizado que solicita archivos de datos confidenciales), del mismo modo que denunciarían el equipaje desatendido en la sala de embarque de un aeropuerto.

Esté atento a las amenazas a la hora de contratar.

Es más importante que nunca utilizar procesos de selección y técnicas de entrevista diseñados para evaluar la honestidad de las posibles contrataciones. Los ejemplos incluyen la verificación de antecedentes penales, la búsqueda de tergiversaciones en los currículums y las preguntas de las entrevistas que sondean directamente la brújula moral del candidato. Nuestro equipo está desarrollando pruebas que permitirán a los empleadores determinar si los posibles empleados tienen rasgos de personalidad peligrosos, como los identificados por la CPNI.

Durante el proceso de entrevista, también debe evaluar la conciencia sobre la ciberseguridad. ¿Sabe el candidato qué es una amenaza interna? ¿Cuándo podría compartir las contraseñas con un miembro del equipo? ¿En qué circunstancias podría permitir que los miembros del equipo utilizaran su ordenador como él? Si los candidatos son buenos en todos los demás aspectos, puede contratarlos, pero asegúrese de que reciben formación inmediata sobre las políticas y prácticas de su organización. Sin embargo, si se está considerando a alguien para un trabajo en un entorno muy delicado, piense detenidamente en incorporarlo.

Emplee procesos de subcontratación rigurosos.

Como demuestra la infracción de Target, debe asegurarse de que sus proveedores o distribuidores no lo pongan en riesgo, por ejemplo, minimizando la probabilidad de que alguien de un proveedor de TI externo cree una puerta trasera a sus sistemas. Si el riesgo de quiebra o infracción de un proveedor es mucho menor que el suyo, puede que no adopte los controles que necesita. Busque socios y proveedores que tengan el mismo apetito por el riesgo y la misma cultura que su organización, lo que aumentará las probabilidades de adoptar un enfoque común en materia de ciberseguridad.

Pregunte a los posibles proveedores durante las conversaciones precontractuales sobre cómo gestionan los riesgos relacionados con la información privilegiada. Si los contrata, auditelos periódicamente para asegurarse de que sus prácticas se mantienen genuinamente. Deje claro que realizará auditorías y estipulará lo que implicarán. Una empresa podría exigir a los proveedores los mismos controles que utiliza ella misma: comprobar los antecedentes penales de los empleados, comprobar la veracidad de los historiales laborales de los candidatos a un puesto de trabajo, supervisar el acceso a sus datos y solicitudes para detectar actividades no autorizadas y evitar que los intrusos entren en instalaciones físicas confidenciales.

Supervise a los empleados.

Hágales saber que puede observar y observará su ciberactividad en la medida en que lo permita la ley. No puede darse el lujo de dejar la ciberseguridad por completo en manos de los expertos; debe crear conciencia día a día sobre lo que sale de sus sistemas y lo que entra. Eso significa exigir a los equipos de seguridad o a los proveedores de servicios que realicen evaluaciones de riesgo periódicas, que incluyan las fuentes de las amenazas, los empleados y las redes vulnerables y las posibles consecuencias si el riesgo se hace realidad. También debe medir los comportamientos de mitigación del riesgo, como los tiempos de respuesta a las alertas.

A menudo, los enrutadores o los firewalls pueden monitorear los canales de salida, pero debe asegurarse de que la función esté activada. Si no tiene el equipo para monitorear el tráfico saliente, cómprelo. También debe registrar y supervisar otros medios de exfiltración (memorias USB y otros soportes de almacenamiento portátiles, impresiones, etc.) mediante controles puntuales o incluso registros permanentes, al estilo de un aeropuerto, de las personas que entran y salen de sus edificios. (General Electric y Wipro las usan en Bangalore.)

«La mejor manera de entrar en una empresa que no está preparada es rociar memorias USB infectadas con el logotipo de la empresa por todo el aparcamiento».

Para que la supervisión sea eficaz, debe gestionar con diligencia los privilegios de todos los empleados, incluidos los que tienen los niveles más altos de acceso a los sistemas de la empresa, que suelen ser los instigadores de ataques internos. Recorte su lista de usuarios más privilegiados con regularidad y, a continuación, observe los que quedan para comprobar que se merecen su confianza. Busque sistemas de detección de amenazas internas que puedan predecir posibles eventos que se puedan prevenir y encontrar eventos que ya se hayan producido. Los macrodatos pueden ser útiles para vincular pistas y proporcionar advertencias.

El software de detección de malware puede resultar útil. Especialmente en las colaboraciones entre personas ajenas y con información privilegiada, un primer paso clave es introducir malware en la red. Cuando encuentre malware, tenga en cuenta que podría formar parte de un ataque interno; un análisis de cómo se utiliza el malware puede dar pistas sobre la identidad y los objetivos más amplios del atacante.

Supervisar hasta este punto aumentará la carga de trabajo de todos, pero dará sus frutos al aumentar la resiliencia y reducir el riesgo para su empresa. La estrategia más eficaz para desactivar la ciberamenaza que representan las personas con información privilegiada es utilizar las tecnologías de protección disponibles y corregir sus puntos débiles, pero centrarse, en última instancia, en lograr que todas las personas con información privilegiada se comporten de manera que la empresa esté a salvo. La gente necesita saber qué comportamientos son aceptables o inaceptables. Recuérdeles que proteger a la organización también protege sus puestos de trabajo.

Anterior Siguiente

Artículos Relacionados

La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.

La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.

Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo

Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo

A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.

En tiempos inciertos, hágase estas preguntas antes de tomar una decisión

En tiempos inciertos, hágase estas preguntas antes de tomar una decisión

En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.