Las amenazas no sólo vienen de fuera. Una investigación estima que casi el 40% de las brechas de seguridad de TI son perpetradas por personas cercanas a la empresa. Algunos informes recogen que más del 50% por ciento de las organizaciones sufrieron un ataque interno en los últimos 12 meses, mientras que un 90% afirmaran sentirse vulnerables a amenazas internas. ¿Por qué se producen estos ataques? Por lo general, para obtener un beneficio económico, pero a veces es por venganza o un beneficio a futuro, como puede ser llevar datos a un nuevo trabajo.

IT Digital Media ha reunido a expertos en Ciberseguridad para debatir sobre estas amenazas internas que se están volviendo cada vez más comunes y costosas. Javier Osuna, Director División Consultoría y Servicios de Ciberseguridad de GMV, ha aportado su experiencia y opinión sobre el tema, destacando que los procesos de transformación digital hacen que los límites físicos y lógicos se hayan difuminando. Aspectos como el time to market, la movilidad, el teletrabajo, la asociación y subcontratación de empresas y profesionales, han abierto y alargado tanto la cadena de valor como la de suministro. Como consecuencia de ello, las problemáticas de la amenazas internas tienen cada vez una dimensión creciente que requiere una concienciación y reconceptualización asociada a una protección borderless.

Ante un concepto tan amplio como es el de las amenazas internas, Javier Osuna abogó por centrase más en los actores y sus motivaciones: ¿Quiénes son los insiders y qué buscan?

El insider es el eslabón imprescindible de una “cadena oscura” de suministros de información, necesaria para otro tipo de fines que pueden tener motivaciones diversas (políticas, económicas, sociales, criminales, etc.). Su peligrosidad radica en la confianza y la facilidad para acceder a información o sistemas sensibles de manera normal sin levantar sospechas. Se trata de un escenario complejo donde personas autorizadas son las que acceden a información sensible, siendo el destino de dicha información el que determine si se trata de un incidente o no.

Las motivaciones son variadas, destacando la convicción como puede ser el hacktivismo o el crimen organizado, el espionaje industrial e incluso entre países y finalmente de tipo accidental que incluye al “trabajador despistado”, o menos concienciado e incluso en algunos casos extorsionado.

Estos “modus operandi” de las personas son permanentemente analizados en GMV desde la perspectiva de utilización segura de los recursos de TI así como la información que una organización puede manejar, desarrollando modelos de uso (cada organización tiene su casuística), para valorar los posibles abusos relacionados con la disponibilidad de la información sensible, su facilidad de acceso o visualización y los requerimientos para su distribución. Esto nos da una capacidad importante para poder taxonomizar los posibles incidentes de exfiltración de información, pudiendo cubrir desde la monitorización de la actividad con los datos de la organización, asesorando en materia de “Forensic Readiness” para adquirir capacidades de investigación ante este tipo de incidentes y finalmente establecer “alertas de mal uso” de la información.

Si falta dinero, tarde o temprano, se echa de menos porque cambia de sitio o propietario. Sin embargo, detectar si se ha accedido, duplicado o modificado información es difícil ya que el propietario la sigue teniendo, por eso en la mayoría de las ocasiones para identificar fugas de información hemos de buscar fuera. En GMV completamos el círculo mediante nuestros servicios CERT y los procesos de cibervigilancia.

En definitiva, se habla mucho de detección de anomalías, pero hay que tener cuidado, porque la normalidad a veces no es siempre lo deseable. La peor amenaza es la que no has detectado y consideras normal.

• VIDEO COMPLETO DEBATE
• ESPECIAL ITDM - AMENAZAS INTERNAS