Cuando se trata de cibercrimen, el foco se centra mucho en las amenazas externas y en los individuos que activamente tratan de causar daño, ya sea infectando un sistema con malware o cifrando archivos para extorsionar a sus víctimas.
Y es entendible que se le preste atención a esto, ya que las amenazas que plantean los cibercriminales a las organizaciones es significativa; tanto que muchos consideran a sus actividades ilegales como la evolución natural de los crímenes "tradicionales", simplemente una versión digital y en línea de lo que sucedía antes. Otros llegan a describirlas como un "fenómeno del siglo XXI que no se va a ir".
Sin embargo, las amenazas no son solamente externas. Las amenazas internas, que por muchos años fueron malentendidas, son tan problemáticas como sus equivalentes exteriores, y cada vez más empresas empiezan a reconocer los daños que podrían ocasionarse desde adentro.
Una encuesta incluso sugirió que la mayor amenaza al programa de ciberseguridad de una organización la constituyen los empleados. Este artículo elaborado por Nuix en 2015 reportó que la sorprendente mayoría de encuestados (el 93%) considera al "comportamiento humano" como la amenaza número uno a su seguridad. Lo interesante es que es una preocupación creciente, ya que el año anterior la figura había sido menor (88%).
Esto se observa también en Latinoamérica, dado que alrededor del 10% de las empresas pequeñas y medianas nombró al fraude interno como uno de los incidentes que sufrieron en 2015 en nuestro ESET Security Report 2016.
De esto, se pueden extraer aspectos postivos y negativos. Es bueno que la amenaza se tome en serio, pero es preocupante que los incidentes sean mayores de lo que se creía, o estén en ascenso.
En este artículo, echamos un vistazo a las cosas de las que deberías ser consciente y las consideraciones de seguridad que deberías hacer para asegurarte de que estás bien equipado para lidiar con amenazas, maliciosas o no, que puedan surgir del interior de la organización.
El juego cambió
Algunos casos recientes demuestran lo complejo y dispar que es el estado de las cosas. El primero concierne a Ofcom, la oficina regulatoria de comunicaciones en el Reino Unido. En marzo, se reveló que uno de sus exempleados había estado recolectando información sensible durante seis años. Sus empleadores seguían sin enterarse, y solo lo superon cuando los empleadores siguientes del individuo se lo informaron.
El segundo caso, que se remonta a 2012 pero se resolvió este año, tuvo que ver con St. Joseph Health System. Ajustes de seguridad mal configurados llevaron a que los registros médicos privados de los pacientes de un hospital sean visibles en Google durante un año; la demanda culminó con un arreglo judicial que le costó millones a la entidad.
El tercer caso está relacionado con lo que puede describirse como una brecha de datos involuntaria. Un exempleado de Federal Deposit Insurance Corp. (FDIC) había descargado datos a un dispositivo de almacenamiento personal "en forma inadvertida y sin intención maliciosa". Cerca de 44.000 empleados se vieron afectados.
No olvidemos el caso del antiguo jefe de TI que infectó los servidores de la compañía en la que trabajaba, tres meses después de haber renunciado. Este hecho le valió una condena a 30 meses en prisión.
Como podrás ver, las amenazas internas no son tan sencillas como podría parecer y su impacto puede ser muy grande. Incidentes significativos pueden surgir de actividad inocua, y la falta de conocimiento sobre estos riesgos es común.
Cómo se materializan las amenazas internas
Como notó CERT, las amenazas internas son numerosas y pueden ser tanto intencionales como involuntarias. Son "influenciadas por problemas técnicos, de comportamiento y organizacionales", lo que significa que las organizaciones necesitan considerar la creación de programas de seguridad y soluciones que atiendan cada una de estas áreas clave de debilidad, para asegurar que tienen respuestas a la mayoría de los escenarios.
Esto siempre faltó. El problema para muchas empresas es que si bien han estado dispuestas a adoptar y beneficiarse de la tecnología, no han entendido completamente los desafíos que la acompañan. Esto es lo que PwC describe como "la paradoja digital":
Las organizaciones hoy son capaces de cubrir más terreno, más rápido que nunca antes, gracias a nuevas conexiones digitales, herramientas y plataformas que pueden conectarlas en tiempo real con clientes, proveedores y socios. Al mismo tiempo, el cibercrimen se convirtió en una fuerza compensatoria poderosa que está limitando ese potencial.
Recuerda, las amenazas no son solo maliciosas: hay riesgos menos siniestros también, que pueden ocasionar el mismo tipo de daño que las acciones de los cibercriminales, por ejemplo, daños financieros o a la imagen de una marca.
Lo que se necesita hacer
No hay una respuesta fácil a esto pero, en un nivel fundamental, todo debería apuntar a un programa de ciberseguiridad que detalle cómo una empresa debe abordar las amenazas internas y externas. Este documento debe proveer un marco de referencia sólido sobre el que se pueda seguir construyendo.
Entonces, ¿qué deberías considerar para empezar a ver la imagen completa?
Impulsa la capacitación de los empleados
Comentando los resultados de una encuesta en 2014, David Harley, investigador de ESET, dijo: "Debería estar de acuerdo con que una proporción muy elevada de brechas de seguridad son causadas directa o indirectamente por las personas dentro de una organización, ya sea una cuestión de error humano, susceptibilidad a la Ingeniería Social, malas decisiones de gestión de la seguridad y demás".
Ya no es suficiente que algunos sean conscientes de la ciberseguridad: todo el personal necesita entender cuán fácil es que se cometan errores y dónde pueden existir vulnerabilidades. La falta de conocimiento significa que no hay punto de referencia para consultar ante una duda y, así, es probable que los problemas se materialicen.
Para más información, accede a nuestra Guía del empleado seguro.
Haz un backup de tus datos
Este es el motivo por el que, como parte de una empresa, deberías respaldar tus datos. Puedes hacer todo para protegerte, aunque nada es infalible. Es mejor prevenir que lamentar y la proactividad siempre triunfa ante la reactividad en esta instancia.
Considera al ransomware Locky. Podría ser entendido como una amenaza externa, aunque también es interna. Se distribuye por correo electrónico a través de un archivo adjunto; el documento contiene un troyano que, al ser ejecutado, descarga el payload, y dicha acción sucede en el ámbito interno de la compañía.
"Piénsalo: lo último que querrías es que un ransomware cifre todos tus archivos personales y tener que pagar para recuperarlos. Siempre es buena idea tener una copia de respaldo de tus documentos, almacenada en otro dispositivo externo o incluso en la nube", aconsejaron Raphael Labaca Castro y Josep Albors al analizar la actividad de los trojandownloaders.
Aprende aquí 6 formas de hacer backup.
Documenta lo que es aceptable y lo que no
Establecer en detalle lo que se permite y lo que no es vital para establecer los límites de las buenas prácticas. Por ejemplo, algunas organizaciones pueden creer que es aceptable que los empleados se lleven sus laptops a sus hogares, mientras otras lo pueden creer inapropiado, aunque podrían confiar en ellos aplicando cifrado.
Lo interesante es la forma en que las compañías responden a las transgresiones. ¿Es suficiente dar una advertencia? ¿Aplicas multas? Claro que esto varía según la organización, pero sigue siendo importante a la hora de lidiar con incidentes voluntarios e involuntarios.