Por Matt Lock, Director de Ventas de Ingeniería (Reino Unido) en Varonis
La posibilidad de tener un empleado deshonesto con acceso a sistemas esenciales y datos confidenciales, es una de las situaciones de seguridad más alarmantes en las que se puede encontrar una empresa. Algunas de las mayores amenazas a las que se enfrentan las organizaciones hoy en día no provienen de los genios de las computadoras, provienen de compañeros empleados ordinarios que ves todos los días y pueden hacer daño con la misma facilidad.
En septiembre, un informe financiado por el gobierno sobre ataques cibernéticos contra universidades, reveló que muchos probablemente serían obra del personal descontento y de los estudiantes, en lugar de delincuentes externos. El análisis de 850 incidentes en 2017-18 reveló un patrón claro de ataques que aumentan durante la jornada laboral y el período de tiempo antes de terminar las horas de la universidad.
El informe es un recordatorio de que las organizaciones a menudo se enfocan en colocar cercas virtuales para mantener alejados a los cibercriminales, pero ignoran lo que está justo delante de ellos y se esconden a la vista: el resentido o deshonesto que quiere hacer daño, con la leve percepción de obtener beneficios tomando información sensible.
Los incidentes graves de información privilegiada, como el sabotaje y el robo de datos, pueden resultar en enormes daños financieros y de reputación. Peor aún, los miembros maliciosos pueden ser extremadamente difíciles de identificar, ya que cualquier empleado con suficiente acceso al sistema podría representar una amenaza secreta.
Identificar a un interno malicioso con anticipación es casi imposible, a menos que muestren signos muy claros de insatisfacción. Sin embargo, la buena noticia es que, si bien una amenaza es físicamente difícil de detectar, su actividad digital proporcionará una serie de pistas importantes.
Aquí hay cuatro de las señales de advertencia más importantes de que hay un empleado deshonesto o un impostor cibernético en el trabajo:
- Acceso a archivos sospechosos.Un empleado que busca, visualiza o copia datos que no son relevantes para su función laboral, es una gran señal de advertencia de que podría no estar bien. Estos empleados pueden intentar enmascarar su actividad accediendo solo a unos pocos archivos a la vez.
- Guardar o imprimir cantidades masivas de información.Los usuarios con acceso privilegiado como parte de su rol podrán evitar sospechas con mayor facilidad. Sin embargo, una gran cantidad de datos que se guardan externamente o se imprimen, pueden ser una señal de que incluso un empleado de confianza tiene la intención de llevar archivos confidenciales a otro trabajo o venderlos a un tercero.
- Actividad inusualdurante las horas “off”. Las horas de trabajo se han vuelto cada vez más flexibles en los últimos años, y algunos se registran habitualmente los fines de semana o hasta altas horas de la noche. Sin embargo, si el patrón de trabajo comienza a cambiar repentinamente, podría apuntar a un intento de actividad encubierta o el trabajo de un criminal con credenciales robadas.
- “Fantasmas” en su red. Muchas empresas pasan por alto la eliminación de las cuentas de usuario de los empleados que abandonan la empresa, y estas cuentas fantasma a menudo pueden ser utilizadas por el ex empleado o por delincuentes utilizando sus detalles. De cualquier manera, la actividad de los usuarios fantasmas es un signo fuerte de actividad maliciosa.
Para detectar estos cuatro signos y otros indicadores de comportamiento interno malicioso, las organizaciones deben estar equipadas con la capacidad de monitorear cómo sus usuarios acceden y usan archivos, particularmente los sistemas y datos de misión crítica. Los análisis de comportamiento se pueden usar para identificar automáticamente a los usuarios que muestran un comportamiento sospechoso que indica que un interno malicioso está en el trabajo.
La amenaza interna también puede reducirse en gran medida, al garantizar que el acceso a la red se conceda con privilegios mínimos, ya que los usuarios solo tienen acceso a archivos y sistemas relevantes para sus roles de trabajo. Muchas empresas dejan dar a los empleados mucho más acceso del que necesitan, y un informe reciente de Varonis encontró que el 41% de las empresas tenían al menos 1.000 archivos confidenciales abiertos a todos los empleados.
Al mantener los datos esenciales bloqueados y monitorear activamente los comportamientos sospechosos, las organizaciones pueden reducir al mínimo el riesgo que supone un interno malintencionado.
Por Matt Lock, Director de Ventas Ingenieros (Reino Unido) en Varonis
¿Interesado? ¿ Cree que le serviría a su empresa? Contáctenos, le ayudaremos a encontrar su mejor opción.
