El peligro es también interno: Los ciberataques de los empleados aumentaron un 31 % en los últimos tres años
Según el estudio "2020 Cost of Insider Threats: Global Report" (Coste de las amenazas internas en 2020: Informe mundial) elaborado por el Instituto Ponemon.

El peligro es también interno: Los ciberataques de los empleados aumentaron un 31 % en los últimos tres años

Tres expertos analizan para Confilegal este fenómeno
|
26/9/2021 01:00
|
Actualizado: 26/9/2021 01:00
|

Los daños causados por los ataques a los sistemas de información de las empresas por parte de los ‘insiders’ –empleados– crecieron un 31% en los últimos tres años, pasando de 8,76 millones de dólares anuales (7.474.338 euros) en 2018  a 11,45 millones de dólares (9.769.540 euros) en 2020, según el estudio «2020 Cost of Insider Threats: Global Report» (Coste de las amenazas internas en 2020: Informe mundial).

Este estudio ha sido elaborado por el Instituto Ponemon bajo el patrocinio de IBM y de ObserveIT. Para ello han entrevistado a 964 profesionales de la informática y la seguridad informática en 204 organizaciones con base en Estados Unidos, Canada, Europa (incluida también España), Oriente Próximo y África y Asia-Pacífico. De media, la plantilla de cada organización superaba las 1.000 personas.

El número de incidentes ha aumentado un asombroso 47 % en solo dos años, pasando de 3.200 en 2018 (según Ponemon) a 4.716 en 2020.

AMENAZAS POCO ABORDADAS POR LAS ORGANIZACIONES

Estos datos muestran que las amenazas internas siguen siendo una amenaza de ciberseguridad persistente y a menudo poco abordada de las organizaciones, en comparación con las amenazas externas.

Se tarda una media de 77 días en contener cada incidente de amenaza interna. Sólo el 13% de los incidentes se contuvo en menos de
de 30 días.

El coste de las amenazas internas varía significativamente en función del tipo de incidente. Si se trata de se trata de un empleado o contratista negligente, cada incidente puede suponer un costo de 307.111 dólares (262.037 euros), de media.

Sin embargo, dado que este tipo de incidente es el más frecuente (comprende el 62% de los de los incidentes), los costes totales pueden sumar una media de 4,58 millones de dólares (3,90 millones de euros) al año a cada organización.

Por otra parte, el coste medio por incidente casi se triplica si implica a un impostor o ladrón que roba datos (871.686 dólares o 743.753 euros).

El tipo más costoso es el robo de credenciales de usuarios privilegiados. En esta investigación, el 14 % de los incidentes implicaban el robo de credenciales de usuarios con privilegios. Anualmente, este tipo de incidentes le cuestan a cada organización una media de 2,79 millones de dólares (2,38 millones de euros).

Los delincuentes y los intrusos malintencionados cuestan a las organizaciones representadas en este estudio una media de 755.000 dólares (644.192 euros). Aunque los incidentes maliciosos suelen ser los más publicitados, sólo representan el 23% del total de incidentes.

Sin embargo, su impacto puede acumularse a lo largo del año, costando a cada organización una media de 4,08 millones de dólares (3.481.198 de euros).

El informe Ponemon identifica tres grandes perfiles de «insiders»: Empleados o contratistas descuidados o negligentes; Empleados o contratistas delincuentes; y ladrones de credenciales de empleados/usuarios (también conocido como riesgo de impostor).

Las grandes organizaciones no prestan una gran atención a este tipo de ciberataques, que tienen un gran costo. Foto: Ponemon Institute.

EL TELETRABAJO HA INCREMENTA EL RIESGO

En este escenario, el teletrabajo ha incrementado de manera exponencial el riesgo debido al uso de conexiones inseguras, el uso de dispositivos personales y la difuminación del perímetro, problemas que se añaden al ya complicado panorama de amenazas de la prepandemia.

Para Manuel Asenjo, director de IT del despacho internacional Eversheds Sutherland, «en la actualidad, el paradigma de la ciberseguridad ha cambiado”.

“La superficie que debemos proteger ya no es una ubicación donde los peligros están fuera y debemos ser impermeables hacia dentro, ahora la superficie expuesta se ha visto aumentada y multiplicada”, aclara.

También cree que “es necesario que las capas de seguridad se apliquen al exterior y al interior y en ambos sentidos de fuera hacia dentro y de dentro hacia fuera”.

“Debemos tener en cuenta que la pandemia ha hecho que gran parte de los trabajos que lo permitían adoptaran el teletrabajo con mayor o menor temporalidad por lo que los sistemas de seguridad deben cubrir todos y cada uno de los puestos (endpoints)», subraya.

Asenjo considera que “en base a esta situación los antivirus tradicionales tienden a desaparecer, se ha demostrado que nos son eficaces ante las tendencias de los últimos ataques qué cada vez son más sofisticados”.

“Para mejorar esta situación se utilizan los sistemas EDR (Endpoints Discover & Response) y NDR (Network Discover & Response) o XDR (eXtended Discover & Response). Estos sistemas se basan en la IA o el machine learning para aprender los comportamientos de las organizaciones, de las redes y de los endpoints», explica.

Manuel Asenjo, director de IT de Eversheds Sutherland en España.

Para este experto, “estas herramientas protegen a la compañía en ambas direcciones, no ponen el paraguas fuera si no que también lo ponen dentro, ya que se debe proteger a las organizaciones de todas las posibles anomalías. Además, en su mayoría cómo monitorizan todos los movimientos son capaces de indicarte, dónde, cómo, cuándo y en algunos casos hasta quien o qué organización realizó el ataque”.

“El ‘insider’, es una persona que conoce bien la organización para la que trabaja, que tiene más o menos acceso a información relevante o confidencial y que por diferentes motivos algunos conscientes y otros inconscientes puede generar brechas de seguridad en la compañía”, indica.

“Seguimos ahondando en esta clasificación, dentro de los inconscientes pueden ser empleados con carencias de formación en ciberseguridad, personas que, por distracción, desconocimiento o simplemente que son engañados generan brechas y/o entregan acceso e información relevante a terceros”.

Este experto señala que “dentro de los conscientes, nos encontramos a empleados que pueden a su vez clasificarse en diferentes grupos, los que tienen motivaciones personales, despedidos o agraviados por alguna decisión de la compañía. Su objetivo no suele ser económico y su deseo es afectar a la compañía”.

“Por último, encontramos los que tienen una motivación económica, pueden ser empleados que venden datos de la compañía (espionaje industrial) o bien realizar alguna acción que dañe el funcionamiento de la empresa en beneficio de sus competidores”.

Este tecnológo recuerda que “no debemos de dejar de insistir en la formación al usuario para evitar que sea hackeado, pero si eso falla debemos tener una inteligencia artificial lista para actuar. Ponga una inteligencia artificial en su vida”.

SECRETOS EMPRESARIALES, OBJETIVO DE LOS «INSIDERS»

Álvaro Ramos, director de Nuevas Tecnologías y Protección de Datos de ClarkeModet, cree que “a la hora de prevenir estos ataques, tan importante como la seguridad informática y una buena gestión de los datos personales es que las empresas protejan todos los activos intangibles de carácter estratégico que puedan verse vulnerados”.

“Es muy frecuente que entre las acciones maliciosas llevadas a cabo por los ‘insiders’ se vulnere la Propiedad Industrial e Intelectual de la empresa”, subraya.

A su juicio, “es esencial establecer una política interna que permita tener perfectamente identificada la información estratégica confidencial y que además, determine cómo debe gestionarse y establezca todas las medidas necesarias para mantenerla protegida y trazada”.

Este experto considera que “algunas organizaciones ni siquiera son conscientes de que tienen un secreto empresarial hasta que alguien se ha llevado ya la información sin que se hubiese adoptado ninguna medida para evitarlo”.

En su opinión, “el ‘insider’ medio es un empleado que sale de la empresa, pero también puede serlo un empleado fiel que por desconocimiento, descuido o falta de formación al respecto termina filtrando información estratégica que forma parte de la cartera de activos intangibles de alto valor”.

Álvaro Ramos, director de Nuevas Tecnologías y Protección de Datos de ClarkeModet.

A este respecto considera que “la formación interna va a jugar un papel fundamental en este punto. La empresa tiene que asegurar que los empleados que tienen acceso a información confidencial estratégica saben que lo es, con quiénes pueden compartirla y, en general, cómo tienen que gestionarla”.

“Además, debemos establecer todas las medidas técnicas y legales a nuestra disposición para evitar su divulgación, por ejemplo, a través de sistemas de acceso restringido a la información, mediante la clasificación y rotulación de la documentación sensible y también a través del registro de evidencias seguras y acuerdos de confidencialidad con empleados, proveedores, etc.”, comenta.

Ramos cree que “el riesgo puede minimizarse además contando con un aliado en Propiedad Industrial e Intelectual confiable que ayude a crear un protocolo de gestión del know-how adecuado y adaptado a las necesidades de la empresa, de los activos estratégicos que posee y de los diferentes niveles de acceso a la información que requieran sus empleados”.

“Además, un experto facilitará el registro de evidencias y defensa de estos activos», apunta.

En su opinión, “estas medidas, además de ayudarnos a prevenir ataques de este tipo, van a ser esenciales si finalmente se produce una vulneración de nuestros secretos empresariales y tenemos que demostrarla”.

“En este sentido, la tecnología puede apoyarnos mucho a la hora de certificar los secretos y el ‘Blockchain’ ha permitido hacer más accesible una gestión avanzada del secreto a todo tipo de empresas”, aclara.

CONTAR CON UN PROTOCOLO INTERNO

Desde Ceca Magán, Javier Durán, director de Servicios Generales y Relaciones Laborales de este despacho, explica que su firma, además de contar con los medios tecnológicos necesarios de prevención frente a ciberataques externos (antivirus, ‘firewall’ perimetral, Apt Blocker, MFA, etc…) que entiende que deben de ser lo mínimo pone especial énfasis en contar con un protocolo interno que ofrezca dicha salvaguarda a estos ataques informáticos.

“Lo conseguimos no solo con herramientas tecnológicas que nos ayuden a evitarlos, también es fundamental contar con un protocolo interno que garantice que no fallamos en ciertas cuestiones fundamentales para no sufrir este tipo de ataque”, destaca.

A su juicio, “en este protocolo deben de estar presentes como prioritarias cuestiones como la rapidez y agilidad en el cambio de credenciales cuando alguien nos comunica que causa baja en la compañía, proceder con la misma agilidad al análisis completo de los terminales que nos devuelven mediante programas forenses y de monitorización de usuarios, uso aplicaciones de detección de cualquier malware, etcétera».

“Sin embargo, la mayor parte de estos programas o de sistemas de detección van dirigidos a que, una vez el usuario ha comunicado o dejado la compañía no tengamos problemas de este tipo a posteriori”, comenta.

Javier Durán, director de Servicios Generales y Relaciones Laborales de Ceca Magán.

En su opinión, “lo interesante debe de ser el poder anticiparnos a esto, cuestión realmente complicada. Para ello, hay que hacer un análisis continuado de los distintos perfiles con los que contamos en nuestras organizaciones, qué puestos pueden tener un mayor riesgo, qué conflictos existen o han existido”.

Este experto considera necesario «tener una comunicación fluida y continua con el departamento de recursos humanos y con los responsables de equipo. A través de ellos, debemos de ir detectando en cada momento, que puestos son más sensibles a este asunto, que empleados puedes estar en una situación que pueda ser interpretada de riesgo de convertirse en ‘insider’”.

También aclara que “podría parecer que nos convertimos en detectives privados, pero garantizar la seguridad de nuestra empresa es garantizar su viabilidad y con ello nuestro puesto de trabajo”.

Durán habla de “reuniones periódicas entre el departamento de IT y RRHH junto con responsables de equipo donde se trate este asunto, debe de ser parte de este protocolo, que nos pueda ayudar a la detección del posible ‘insider’”.

“Con ello podremos reforzar ciertas cuestiones para evitar mayores problemas. Todo esto con el máximo respeto a todos los compañeros y cumpliendo con la legislación vigente».

En cuanto al perfil de ese empleado interno o ‘insider’, apunta que “es es variopinto, pero en muchas ocasiones, el que un empleado se decida a realizar este tipo de comportamientos viene derivado de sentimientos de venganza hacia compañeros, superiores, la propia empresa y una manera de encontrar satisfacción a esa venganza es realizando daño a la organización mediante algún tipo de ciberataque, sin esperar ninguna contraprestación económica, es el daño por el daño”.

Asimismo, sostiene que “la motivación económica también suele estar detrás de estas situaciones fundamentalmente realizando de robo de datos para venderlos a otras corporaciones y conseguir lucrarse con ello”.

Pese a ello, recuerda que “no nos podemos olvidar del ‘insider’ que, por descuido, desconocimiento o negligencia, deja abierta una vía de entrada a posibles ataques o directamente comparte información de la compañía sin ser consciente de ello», destaca.

En su opinión, “la colaboración de todo el personal también es vital a la hora de ser conscientes de que informar a la compañía de posibles brechas de seguridad que se detecten es prioritario. Para ello, realizar formaciones periódicas en ciberseguridad donde se expliquen estas cuestiones forma parte también de esa capa interna de seguridad que las corporaciones necesitan”.

Noticias Relacionadas:
Lo último en Áreas y sectores