Una amenaza interna es un riesgo de seguridad generado por un empleado, ex empleado, contratista o proveedor. Las amenazas internas pueden dar lugar a multas, daños a la reputación y pérdida de propiedad intelectual.
Después de leer este artículo podrás:
Contenido relacionado
Prevención de pérdida de datos (DLP)
Control de acceso
Control de acceso basado en roles
Aislamiento del navegador
¿Qué es SASE?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una amenaza interna es un riesgo para la seguridad de una organización que proviene de alguien asociado a ella, como un empleado, ex empleado, adjudicatario, consultor, miembro de la junta directiva o proveedor.
Estas amenazas pueden tener un origen malicioso o accidental. Por ejemplo, un análisis que hizo Verizon de 3950 fugas de datos reveló que el 30 % "implicaba a elementos internos."
Los infiltrados pueden causar daños de múltiples maneras:
Los infiltrados maliciosos pueden tener cualquier número de razones para poner en riesgo los datos de una organización, como el deseo de vender los datos, venganza, aburrimiento, ideología y motivos políticos.
Cuando un infiltrado genera sin querer un riesgo para la seguridad o provoca una fuga, no hay motivo alguno. El infiltrado puede cometer un error que provoque el problema, perder un equipo de la empresa o ser engañado para provocar una fuga de datos con ingeniería social, como el phishing.
Los cambios de comportamiento pueden ser una señal de problemas. Un infiltrado malintencionado puede:
Estas señales no son malas en sí mismas. Puede haber explicaciones completamente razonables para ello, especialmente en el caso de los profesionales de TI.
Un aspecto fundamental de la protección contra las amenazas internas es el control de acceso, o conjuntos de normas y políticas que deciden quién tiene acceso a lugares, información y sistemas restringidos. Un enfoque es el control de acceso basado en roles, por el que los permisos de cada persona dependen de su departamento y responsabilidades laborales.
El principio de acceso con mínimos privilegios en la seguridad de red implicar dar a los empleados y a otras personas internas acceso únicamente a lo que necesitan para llevar a cabo su actividad laboral, y nada más. Por ejemplo, puede que un profesional de recursos humanos necesite ver información sobre los salarios de los empleados y un programador necesite alterar el código base, pero ninguno de ellos necesita acceder a los archivos del otro.
Esto es parte de lo que hace que la seguridad zero trust sea un modelo eficaz de seguridad de TI. Implica exigir una verificación de identidad para cada persona y dispositivo que desee acceder a un recurso corporativo, incluso si ya está dentro de la red. Mediante la limitación del acceso a usuarios y dispositivos, se reducen las posibles consecuencias por todo tipo de amenazas internas, del mismo modo que la pérdida de una tarjeta de crédito y la pérdida de una cartera difieren mucho en cuanto a los daños que se pudieran producir.
A la hora de afinar un programa contra amenazas internas, es fundamental tener en cuenta los motivos y cómo configuran el panorama de las amenazas. Tanto en el caso de los infiltrados malintencionados como en el de los que lo hacen por accidente, el cumplimiento estricto de las mejores prácticas de control de acceso puede ser de gran ayuda en la prevención de la pérdida de datos.
Las estrategias incluyen:
Además de utilizar la gestión de acceso para proteger los datos y los sistemas, el departamento de TI puede establecer límites en los dispositivos que gestione o sean propiedad de la empresa, como bloquear las opciones de transferencia de datos y exigir permiso para descargar nuevo software.
Con las funciones de registro y análisis, es posible establecer alertas para los comportamientos habituales de las amenazas internas para detectar problemas potenciales con antelación. Entre os tipos de alerta se incluyen:
Más información sobre cómo Cloudflare Zero Trust simplifica el proceso de establecer controles de acceso basados en funciones y acelera el acceso en remoto.