¿Cómo detectar un insider?


Los ataques y daños ocasionados en las organizaciones por las
amenazas internas o insiders son cada día mayores y detectar una posible amenaza antes de que suceda un incidente puede ayudar a proteger a la organización de una posible fuga de información y daños a la reputación que puede llevar a la pérdida económica.

 

En EASYSEC siempre hemos dicho que la ciberseguridad debe de apoyar al negocio y basarse en los lineamientos del mismo, su misión y visión, por lo tanto, la detección de un insider sin duda también forma parte de estos objetivos.

 

¿Cómo prevenir las amenazas internas?

La detección de un insider puede volverse muy compleja ya que por lo general se trata de usuarios con acceso legítimo a la información y con privilegios para su manipulación.

 

Por tal motivo, hemos hablado de la importancia de contar con un monitoreo constante de la actividad de los usuarios, y de ese modo saber cuándo un acto se vuelve sospechoso. 

 

Por supuesto para ello debemos de pasar por un proceso de aprendizaje sobre el comportamiento de los usuarios, lo cual ayuda a definir umbrales y actividades normales. 

 

Con esto ahora sí se pueden definir casos de uso y plasmarlos en las Políticas y/o Procesos del negocio, para después materializar la protección con herramientas como los DLP (Data Leak Prevention/Data Loss Prevention), el cual ayudará a aplicar nuestras políticas de la mejor forma.

 

Consejos para detectar un insider

Una vez que se cuenta con un umbral de trabajo y las políticas aplicadas, debemos poner especial atención en la actividad.

Estas son algunas acciones frecuentemente asociadas a los insiders:

  • Descarga de grandes cantidades de datos.
  • Acceder a datos confidenciales a los que normalmente no ingresa el usuario.
  • Intentos de acceso a datos que no se encuentran dentro de su área.
  • Intentos de acceso a sitios web o aplicaciones no autorizadas.
  • Conexión de dispositivos ajenos a la organización como USBs o discos externos en los equipos de trabajo.
  • Copiado inusual de archivos confidenciales.
  • Envío de datos confidenciales fuera de la organización.
  • Búsquedas frecuentes de sitios de ofertas de empleo.
  • Intentos de obtener acceso a información o datos a los que no está autorizado.

También debemos estar atentos a la forma en que los usuarios se refieren a la organización y asociarla a su comportamiento.

Como ves, la detección de un insider se podrá realizar cuando el usuario sobrepase el umbral definido para sus actividades cotidianas, o un intento de violación de la política de seguridad. 

 

El punto más importante es mantener un monitoreo constante y actualización de los umbrales para así descubrir con mayor facilidad cuando una actividad es sospechosa o no.

 

Otro punto igual de importante es mantener comunicación con el área de Recursos Humanos de la organización, ya que al saber con anticipación sobre la baja un empleado, se podrá realizar el monitoreo de forma más puntual y específica, poniendo foco en las actividades del usuario antes de terminar su relación laboral con la empresa.

 

Como podrás darte cuenta, la detección de un insider no es cosa fácil, pero por medio del conjunto de Personas, Procesos y Tecnología podremos disminuir la probabilidad de que la organización resulte afectada por este tipo de amenazas.


Publicar un comentario

0 Comentarios