La frecuencia y el impacto financiero de las amenazas internas han aumentado drásticamente en los dos últimos años.
En un informe reciente del Ponemon Institute, el coste medio global de las amenazas internas por incidente aumentó en 31%, de $ 8,76 millones de dólares en 2018 a $ 11,45 millones de dólares en 2020. Además, el número de incidentes ha aumentado en la asombrosa cifra de 47% en solo dos años, pasando de 3.200 en 2018 a 4.716 en 2020.
La brecha promovida a través de ataques internos saca a la luz un reto de seguridad poco discutido: los desarrolladores que escriben código vulnerable o malicioso que puede ser explotado posteriormente. Se trata de un problema real al que habrá que dar prioridad en 2021..
Hemos enumerado seis pasos que las empresas pueden dar para evitar las amenazas internas.
1) Cambiar la mentalidad sobre el panorama de amenazas
La mayoría de las empresas se centran exclusivamente en las amenazas externas y consideran que su propio personal es digno de confianza. En consecuencia, las amenazas internas no suelen tenerse muy en cuenta en la ciberseguridad de las organizaciones.
Hoy en día, está claro que las organizaciones necesitan cambiar esta mentalidad. Los CISO (directores de seguridad de la información) deben asumir funciones de liderazgo en sus empresas para prevenir las amenazas externas e internas a la ciberseguridad.
2. Utilizar modelos de amenazas
Adoptar modelos de amenazas a mayor escala para determinar el panorama de riesgos de su organización.. Es esencial identificar quién quiere atacar sus sistemas y dónde están los activos para comprender los posibles vectores de ataque y habilitar los controles de seguridad adecuados.
La modelización de amenazas debe estudiar los riesgos potenciales de las vulnerabilidades y los códigos maliciosos, ya que el daño de cualquiera de ellos podría costar millones a su organización. Llevar a cabo un tipo de modelado de amenazas sin el otro podría dar a su organización una falsa sensación de seguridad.
3. 3. Identificar la exposición potencial a las amenazas internas
Detectar una amenaza es muy diferente de las pruebas tradicionales, la revisión de código u otras técnicas de detección de vulnerabilidades. Identificar posibles problemas similares, Los CISO deben ver el software de otra manera.
Los CISO también deberían realizar un análisis del personal interno de su organización y determinar la exposición de cada persona a las áreas que podrían ser presa de la actividad de códigos maliciosos.
Tratar un problema de amenazas internas identificado no es tan sencillo como volver a los desarrolladores y pedirles una solución, porque esos mismos empleados o proveedores podrían ser los adversarios.
4. Implantar un programa de gobernanza proactivo y continuo de detección de amenazas internas.
Para implantar un programa proactivo y continuo de gobernanza de la detección de amenazas, primero tiene que conseguir la aprobación de su equipo directivo. Asegúrese de informar sistemáticamente a los ejecutivos sobre el alcance de sus compromisos de revisión de código malicioso..
Al fin y al cabo, la revisión de códigos maliciosos significa que, en teoría, usted ve como amenazas a aquellos que se encuentran dentro de sus operaciones y que tienen acceso privilegiado. Aunque es difícil encontrar código malicioso y la probabilidad es pequeña, el riesgo de amenazas internas está aumentando.
De hecho, Forrester Research ha pronosticado que el 33% de las violaciones de datos serán causadas por incidentes internos en 2021.
Es importante insistir en que todos los esfuerzos de revisión de código malicioso deben hacerse en secreto y sólo implicar a pequeños equipos de personas en las que confíes plenamente.
Tiene que ser una operación encubierta, en la que no se notifique ni se dé a conocer a las partes interesadas de la cadena de suministro de software. Nunca deben saber que se está aplicando un proceso para examinar su trabajo con la intención de identificar código sospechoso y posiblemente malicioso.
5. Definir los escenarios de riesgo y los pasos a seguir
Una vez que su régimen de revisión de código malicioso está en marcha y se detecta actividad sospechosa, considere los siguientes pasos de escalada para reducir el riesgo.
● Sospechoso, pero no malicioso
Si encuentra algo que parece sospechoso o malicioso pero que no puede explotarse -puede incluso haberse dejado por error-, puede optar por no hacer nada.
● Invitación al círculo de confianza
Si encuentra algo que parece sospechoso, pero no puede confirmar si es malicioso, puede que necesite pedir refuerzos para verificar o negar su sospecha. En esta fase de la escalada, el CISO entablaría relación con un desarrollador interno o externo e incorporaría a esa persona al círculo de confianza.
Vigilancia pasiva
La elección de una postura de supervisión puede ser otro paso de escalada cuando se encuentra algo sospechoso. Esta postura permite un registro adicional en producción o una protección adicional de la capa de datos que le avisa cuando alguien intenta explotar una línea de código sospechosa.
Supresión activa
El siguiente nivel de escalada es cuando se encuentra código sospechoso o malicioso y se trabaja para suprimirlo. Durante esta etapa, escribes activamente una regla en el cortafuegos. A continuación, construyes una función de compensación o haces algún tipo de inyección o coincidencia de dependencias para impedir activamente que se ejecute el código sospechoso.
● Inicio de un acto ejecutivo
Cuando se encuentra un código malicioso y se identifica su origen -ya sea un único insider, un equipo, un departamento, una línea de negocio o incluso un país-, la fase de escalado no tiene nada que ver con el desarrollo de software.
En su lugar, se trata de proteger su organización, implicar a sus dirigentes y ejecutar un acto serio a nivel ejecutivo. Esto podría incluir el despido de los empleados o contratistas implicados. Incluso podría implicar a las fuerzas de seguridad.
6. Promover soluciones holísticas para la protección a largo plazo
El sector de la seguridad aún no dispone de una solución completa para examinar de forma holística los ataques a la cadena de suministro. A largo plazo, tenemos que estudiar cómo enfocar la evaluación de riesgos y la aceptación de servicios de terceros.
Esto puede producirse en forma de cambios en los requisitos de cumplimiento en torno a los privilegios mínimos, las auditorías y las comprobaciones de integridad.
Sin embargo, con el continuo aumento de las amenazas internas y el creciente número de víctimas en términos de pérdidas financieras y de reputación. - así como posibles amenazas para la seguridad de las personas- es esencial que las organizaciones tomen medidas inmediatas.
Es esencial que los CISO asuman un papel de liderazgo en esta batalla.
Póngase en contacto ahora con los expertos de Conversys para informarse sobre nuestras soluciones de seguridad, gestión de redes y conectividad. Estamos a su disposición para ayudarle a afrontar los nuevos retos de la seguridad y la protección de datos.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnologías de la Información y la Comunicación que opera en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones de infraestructura informática y de telecomunicaciones personalizadas.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, porque creemos que así es como adquirimos las habilidades y conocimientos que necesitamos para innovar y generar valor para las empresas en las que operamos.
