¿Qué es la amenaza interna?
Obtenga información sobre cómo defender su organización de la actividad interna, incluidos los usuarios con acceso autorizado que pueden provocar de forma involuntaria o involuntaria un incidente de seguridad de datos.
Amenaza interna definida
Antes de que los insiders se conviertan en una amenaza, son un riesgo, que se define como la posibilidad de que una persona use el acceso autorizado a los recursos de la organización, de forma malintencionada o involuntaria, de forma que afecte negativamente a la organización. El acceso puede ser físico y virtual, y los recursos pueden ser información, procesos, sistemas e instalaciones.
¿Qué es un insider?
Un insider es una persona de confianza a la que se le ha concedido acceso a los recursos, datos o sistemas de la empresa, o que tiene conocimiento de ellos, y que no están disponibles con carácter general para el público, por ejemplo:
- Personas que tienen un distintivo u otro dispositivo que les permite acceder continuamente a la propiedad física de la empresa, como un centro de datos o una sede corporativa.
- Personas que tienen un equipo de empresa con acceso a la red.
- Personas que tienen acceso a la red corporativa, los recursos en la nube, las aplicaciones o los datos de una empresa.
- Personas que tienen conocimiento sobre la estrategia de una empresa y sobre sus finanzas.
- Personas que crean los productos o servicios de la empresa.
Tipos de amenazas internas
Los riesgos internos son más difíciles de detectar que las amenazas externas, porque los insiders ya tienen acceso a los recursos de la organización y están familiarizados con las medidas de seguridad de la empresa. Conocer los tipos de riesgos internos ayuda a las organizaciones a proteger mejor los recursos valiosos.
-
Accidente
A veces, los usuarios cometen errores que pueden provocar posibles incidentes de seguridad. Por ejemplo, un socio comercial envía un documento con datos de cliente a un compañero, sin darse cuenta de que no tiene autorización para ver esa información. O bien, un empleado responde a una campaña de suplantación de identidad e instala involuntariamente malware.
-
Malicia
En un incidente de seguridad malintencionado causado por un insider, un empleado o una persona de confianza realiza intencionadamente algo que sabe que afectará negativamente a la empresa. Estas personas pueden tener una motivación personal u otros motivos personales y pueden estar buscando ganancias financieras o personales a través de sus acciones.
-
Negligencia
La negligencia es similar a un accidente en el que la persona no tenía intención de provocar un incidente de seguridad de datos. La diferencia es que pueden incumplir una directiva de seguridad. Otro ejemplo común son los casos en los que se deja entrar a alguien al edificio sin mostrar un distintivo. Un equivalente digital reemplazaría una directiva de seguridad sin tener en cuenta cuidadosamente la velocidad y la comodidad, o iniciar sesión en los recursos de la empresa a través de una conexión inalámbrica no segura.
-
Colisión
Algunos incidentes de seguridad internos se producen porque una persona de confianza colabora con una organización de ciberdelincuencia para realizar ataques o robos. Este es otro tipo de riesgo interno malintencionado.
¿Cómo se producen incidentes internos malintencionados?
Los incidentes malintencionados causados por insiders pueden producirse de varias maneras más allá de un típico ciberataque. Estas son algunas formas comunes de que los insiders puedan causar incidentes de seguridad:
-
Violencia
Los insiders pueden usar la violencia o la amenaza de violencia para amenazar a otros empleados o expresar su descontento en una organización. La violencia puede adoptar la forma de abuso verbal, acoso sexual, bullying, ataque u otra acción amenazante.
-
Espionage
Durante el proceso de robo de secretos empresariales, información confidencial o propiedad intelectual perteneciente a una organización, se hace referencia a la práctica de robar secretos comerciales, información confidencial o propiedad intelectual con el fin de proporcionar una ventaja a un competidor u otra parte. Por ejemplo, puede haber un insider malintencionado infiltrado en una organización que recopile información financiera o proyectos de productos para obtener una ventaja competitiva en el mercado.
-
Sabotaje
Puede ser que un insider se sienta insatisfecho con una organización y tenga motivación para dañar la propiedad física, los datos o los sistemas digitales de la organización. El sabotaje puede producirse de diversas maneras, como el robo de equipos o la vulneración de la información confidencial.
-
Fraude
Los insider pueden realizar actividades fraudulentas para obtener beneficios personales. Por ejemplo, un insider malintencionado puede usar la tarjeta de crédito de una empresa para su uso personal o para enviar reclamaciones de gastos falsos o inflados.
-
Robo
Los insider pueden robar recursos, datos confidenciales o propiedad intelectual de una organización para obtener beneficios personales. Por ejemplo, un empleado que se marcha y que tiene una motivación de ganancia personal puede filtrar información confidencial a su próxima empresa, o un contratista contratado por una organización para realizar tareas específicas puede robar datos confidenciales en su propio beneficio.
-
Siete indicadores de riesgo interno
Tanto las personas como la tecnología desempeñan un papel importante en la detección de riesgos internos. La clave es establecer una línea base de lo que es normal para que sea más fácil identificar actividades inusuales.
-
Cambios en la actividad del usuario
Los compañeros de trabajo, administradores y asociados pueden estar en la mejor posición para saber si alguien se ha convertido en un riesgo para la organización. Por ejemplo, un insider de riesgo que está motivado para provocar un incidente de seguridad de datos puede tener cambios repentinos observables en la prevención como un signo inusual.
-
Filtración de datos anómala
A menudo, los empleados acceden y comparten datos confidenciales en el trabajo. Sin embargo, cuando un usuario comparte o descarga repentinamente un volumen inusual de datos confidenciales en comparación con sus actividades anteriores o compañeros en un puesto similar, podría indicar un posible incidente de seguridad de datos.
-
Una secuencia de actividades de riesgo relacionadas
Una única acción del usuario, como la descarga de datos confidenciales, podría no ser un riesgo potencial en sí misma, pero una serie de acciones podría indicar posibles riesgos para la seguridad de los datos. Por ejemplo, supongamos que un usuario cambió el nombre de los archivos confidenciales para que parezcan menos confidenciales, los descargó del almacenamiento en la nube, los guardó en un dispositivo portátil y los eliminó del almacenamiento en la nube. En este caso, podría sugerir que el usuario estaba intentando filtrar datos confidenciales al eludir la detección.
-
Filtración de datos de empleados que se marchan
La filtración de datos a menudo aumenta junto con las renuncias y puede ser intencionada o involuntaria. Un incidente involuntario podría parecer a que un empleado que se va copia inadvertidamente datos confidenciales para mantener un registro de sus logros en su puesto, mientras que un incidente malintencionado podría parecerse a la descarga intencionada de datos confidenciales para obtener ganancias personales o para que ayude a la persona en su siguiente trabajo. Cuando los eventos de renuncia coinciden con otras actividades inusuales, podría indicar un incidente de seguridad de datos.
-
Acceso anómalo al sistema
Los posibles riesgos internos pueden comenzar por usuarios que acceden a recursos que normalmente no necesitan para su trabajo. Por ejemplo, los usuarios que normalmente solo acceden a sistemas relacionados con el marketing de repente empiezan a acceder a los sistemas financieros varias veces al día.
-
Acoso e intimidación
Uno de los primeros signos de riesgos internos podría ser que un usuario expresase una comunicación amenazante, abusiva o discriminadora. No solo causa daños en la cultura de una empresa, sino que también podría provocar otros posibles incidentes.
-
Elevación de privilegios
Normalmente, las organizaciones protegen y rigen recursos valiosos mediante la asignación de roles y acceso con privilegios a personal limitado. Si un empleado intenta escalar sus privilegios sin una justificación comercial clara, podría ser un signo de posible riesgo interno.
-
Ejemplos de amenazas internas
Los incidentes de amenazas internas, como el robo de datos, el espionaje o el sabotaje, se han producido en organizaciones de todos los tamaños a lo largo de los años. Algunos ejemplos son:
- Robar secretos comerciales y venderlos a otra empresa.
- Piratear la infraestructura en la nube de una empresa y eliminar miles de cuentas de cliente.
- Uso de secretos comerciales para crear una nueva empresa.
Importancia de la administración holística de riesgos internos
Un programa holístico de administración de riesgos internos que prioriza las relaciones entre empleados y empresas e integra controles de privacidad puede reducir el número de posibles incidentes de seguridad internos y provocar una detección más rápida. En un estudio reciente realizado por Microsoft, se detectó que las empresas con un programa holístico de administración de riesgos internos tenían un 33 % más de probabilidades de tener una detección rápida de riesgos internos y un 16 % más de probabilidades de solucionarlos rápidamente que las empresas con un enfoque más fragmentado.1
Protección contra amenazas internas
Las organizaciones pueden abordar los riesgos internos de forma holística centrándose en los procesos, las personas, las herramientas y la educación. Use los siguientes procedimientos recomendados para desarrollar un programa de administración de riesgos internos que genere confianza con los empleados y ayude a reforzar su seguridad:
-
Priorizar la confianza y privacidad de los empleados
La creación de confianza entre los empleados comienza por priorizar su privacidad. Para fomentar una sensación de comodidad con su programa de administración de riesgos internos, considere la posibilidad de implementar un proceso de aprobación multinivel para iniciar investigaciones internas. Además, es importante auditar las actividades de los que llevan a cabo investigaciones para asegurarse de que no superan sus límites. La implementación de controles de acceso basados en roles para limitar quién del equipo de seguridad puede acceder a los datos de investigación también puede ayudar a mantener la privacidad. La anonimización de nombres de usuario durante las investigaciones puede proteger aún más la privacidad de los empleados. Por último, considere la posibilidad de eliminar las marcas de usuario después de un período de tiempo establecido si una investigación no continúa.
-
Usar métodos de disuasión positivos
Aunque muchos programas de riesgo interno se basan en medidas disuasorias negativas, como directivas y herramientas que restringen las actividades de los empleados de riesgo, es fundamental equilibrar estas medidas con un enfoque preferente. Los factores de disuasión positivos, como los eventos morales de los empleados, la incorporación exhaustiva, la formación y la educación continua en materia de seguridad de datos, los comentarios ascendentes y los programas de equilibrio entre la vida laboral y el trabajo pueden ayudar a mitigar la probabilidad de se produzcan eventos internos. Al interactuar con los empleados de forma productiva y proactiva, los factores de disuasión positivos abordan el origen del riesgo y promueven una cultura de seguridad dentro de la organización.
-
Conseguir la participación de toda la empresa
Los equipos de TI y seguridad pueden asumir la responsabilidad principal de administrar el riesgo interno, pero esencial implicar a toda la empresa en este esfuerzo. Departamentos como los recursos humanos, el cumplimiento y el derecho desempeñan un papel fundamental en la definición de directivas, la comunicación con las partes interesadas y la toma de decisiones durante una investigación. Para desarrollar un programa de administración de riesgos internos más completo y eficaz, las organizaciones deben buscar la participación de todas las áreas de la empresa.
-
Solución integral de seguridad
Proteger eficazmente la organización frente a riesgos internos requiere algo más que la implementación de las mejores herramientas de seguridad; exige soluciones integradas que proporcionen visibilidad y protección para toda la empresa. Cuando se integran soluciones de seguridad de datos, administración de identidad y acceso, detección y respuesta extendida (XDR) y administración de eventos e información de seguridad (SIEM), los equipos de seguridad pueden detectar y evitar incidentes internos de forma eficaz.
-
Implementación de una formación eficaz
Los empleados desempeñan un papel fundamental en la prevención de incidentes de seguridad, lo que los convierte en la primera línea de defensa. La protección de los activos de la empresa requiere la participación de empleados, lo que a su vez mejora la seguridad general de la organización. Uno de los métodos más eficaces para crear esta participación es a través de la educación de los empleados. Al instruir a los empleados, se puede reducir el número de eventos internos involuntarios. Es importante explicar cómo pueden afectar los eventos internos tanto a la empresa como a sus empleados. Además, es fundamental comunicar las directivas de protección de datos y enseñar a los empleados cómo evitar la pérdida potencial de datos.
-
Uso del aprendizaje automático y la inteligencia artificial
Los riesgos de seguridad en el lugar de trabajo moderno de hoy en día son dinámicos con varios factores que cambian constantemente y que pueden dificultar su detección y respuesta. Sin embargo, al usar el aprendizaje automático y la inteligencia artificial, las organizaciones pueden detectar y mitigar los riesgos internos a la velocidad de la máquina, lo que permite la seguridad adaptable y centrada en las personas. Esta tecnología avanzada ayuda a las organizaciones a comprender cómo interactúan los usuarios con los datos, calcular y asignar niveles de riesgo, y adaptar automáticamente los controles de seguridad adecuados. Con estas herramientas, las organizaciones pueden simplificar el proceso de identificar posibles riesgos y priorizar sus recursos limitados para abordar las actividades internas de alto riesgo. Esto ahorra tiempo valioso a los equipos de seguridad, a la vez garantiza una mejor seguridad de los datos.
Soluciones de administración de riesgos internos
Defenderse contra las amenazas internas puede ser complicado, ya que es natural confiar en los usuarios que trabajan para la organización y con ella. Identificar rápidamente los riesgos internos más críticos y priorizar los recursos para investigarlos y mitigarlos es fundamental para reducir el impacto de posibles incidentes e infracciones. Afortunadamente, muchas herramientas de ciberseguridad que evitan amenazas externas también pueden identificar amenazas internas.
Microsoft Purview ofrece protección de la información, administración de riesgos internos y prevención de pérdida de datos (DLP) para ayudarle a obtener visibilidad de los datos, detectar riesgos internos críticos que pueden provocar posibles incidentes de seguridad de datos y evitar la pérdida de datos de forma eficaz.
Microsoft Entra ID ayuda a administrar quién puede acceder a qué, además puede alertar si el inicio de sesión y la actividad de acceso de alguien son peligrosos.
Microsoft Defender 365 es una solución XDR que ayuda a proteger las nubes, aplicaciones, puntos de conexión y correo electrónico contra actividades no autorizadas. Organizaciones gubernamentales como la Agencia de Ciberseguridad y Seguridad de Infraestructura también proporcionan orientación para desarrollar un programa de administración de amenazas internas.
Al adoptar estas herramientas y usar instrucciones de expertos, las organizaciones pueden administrar mejor los riesgos internos y proteger sus recursos críticos.
Más información sobre la Seguridad de Microsoft
Microsoft Purview
Obtenga soluciones de gobierno, protección y cumplimiento para los datos de su organización.
Administración de riesgos internos de Microsoft Purview
Detecte y mitigue los riesgos internos con modelos de aprendizaje automático listos para usar.
Protección adaptativa en Microsoft Purview
Proteja los datos con un enfoque inteligente y centrado en las personas.
Cómo crear un programa holístico de administración de riesgos internos
Obtenga información sobre cinco elementos que ayudan a las empresas a mejorar la seguridad de los datos a la vez que protegen la confianza de los usuarios.
Prevención de pérdida de datos de Microsoft Purview
Prevenir el uso compartido, la transferencia o el uso de datos confidenciales no autorizados en aplicaciones, dispositivos y en el entorno local.
Cumplimiento de comunicaciones de Microsoft Purview
Cumpla las obligaciones de cumplimiento normativo y solucione infracciones del código de conducta corporativo.
Protección contra amenazas de Microsoft
Proteja los dispositivos, aplicaciones, correos electrónicos, identidades, datos y cargas de trabajo en la nube con una protección contra amenazas unificada.
Microsoft Entra ID
Proteja el acceso a los recursos y los datos mediante una autenticación sólida y directivas de acceso adaptable basadas en riesgos.
Preguntas más frecuentes
-
Hay cuatro tipos de amenazas internas. Una amenaza interna accidental es el riesgo de que alguien que trabaja para una empresa, o con ella, cometa un error que potencialmente pone en peligro la organización, sus datos o personas. Un riesgo interno negligente es cuando alguien incumple deliberadamente una directiva de seguridad, pero no quiere decir que cause daños. Una amenaza malintencionada es cuando alguien roba datos de forma intencionada, sabotea la organización o se comporta de forma violenta. Otra forma de amenaza malintencionada es la connivencia, que es cuando un insider colabora con alguien ajeno a la organización para causar daños.
-
La administración de riesgos internos es importante porque estos tipos de incidentes pueden causar un gran daño a una organización y a sus personas. Con las directivas y soluciones adecuadas, las organizaciones pueden anticiparse a posibles amenazas internas y proteger los valiosos recursos de la organización.
-
Hay varios signos posibles de riesgo interno, como cambios repentinos en las actividades de los usuarios, una secuencia conectada de actividades de riesgo, intento de acceder a recursos que no son necesarios para un trabajo, intento de escalar privilegios, filtración de datos anómala, salida de empleados filtrando datos y acoso.
-
La prevención de eventos internos puede ser complicada porque las actividades de riesgo que pueden provocar incidentes de seguridad las realizan personas de confianza que tienen relaciones en la organización y acceso autorizado. Un programa holístico de administración de riesgos internos que prioriza las relaciones entre empleados y empresas e integra controles de privacidad puede reducir el número de posibles incidentes de seguridad internos y provocar una detección más rápida. Además de los controles de privacidad y centrarse en la capacitación de los trabajadores, la formación periódica, la participación de toda la empresa y las herramientas de seguridad integradas pueden ayudar a reducir el riesgo.
-
Una amenaza interna malintencionada es la posibilidad de que una persona de confianza dañe deliberadamente a la organización y a las personas que trabajan en ella. Esto es distinto de los riesgos internos involuntarios que se producen cuando alguien pone en peligro accidentalmente a la empresa o infringe una regla de seguridad, pero no significa que la empresa salga dañada.
Seguir a Seguridad de Microsoft