Cómo proteger su organización de amenazas internas (ITSAP.10.003)
Mayo de 2024 | Serie de concientización
Amenazas internas Las amenazas internas pueden provenir de cualquier persona que tenga o haya tenido acceso o conocimiento de las redes, los sistemas o los datos de su organización. Estas amenazas pueden ser intencionales, cuando el objetivo es causar daño, o pueden ser involuntarias, como la negligencia de los empleados y los accidentes. Las amenazas internas pueden poner en riesgo a los empleados, clientes, activos, reputación e intereses de su organización. Sin embargo, existen procedimientos de seguridad que puede implementar para reducir estos riesgos.
En esta página
Amenaza interna no intencionada
Es posible que un empleado cause daños accidentales a la infraestructura o la información de su organización. Algunas causas de amenazas internas no intencionales incluyen:
- extraviar un dispositivo móvil o un medio extraíble
- conceder a otros empleados acceso a información confidencial a la que no están autorizados a acceder
- Manejar incorrectamente información confidencial dejándola expuesta u olvidando aplicar los permisos apropiados
Amenaza interna maliciosa
Una amenaza interna maliciosa ocurre cuando alguien usa a sabiendas su infraestructura e información para causar daño. Puede obtener acceso no autorizado o abusar del acceso a cuentas generales o privilegiadas. Una persona puede estar motivada a obtener acceso no autorizado o realizar acciones no autorizadas por las siguientes razones:
- En busca de venganza, debido a un desaire percibido o un problema en el lugar de trabajo.
- Ser amenazado o extorsionado
- Esperando algún tipo de beneficio personal o financiero
Cualquier persona que tenga acceso autorizado a su infraestructura o información puede ser una amenaza interna. Esto incluye empleados, contratistas y socios. Estas personas pueden intentar encubrir sus acciones alterando programas de detección o eliminando registros de auditoría.
Los empleados que tienen privilegios de acceso innecesariamente altos pueden representar amenazas graves para su organización. Debe asegurarse de que los empleados solo tengan el acceso que necesitan para llevar a cabo sus funciones, esto se denomina acceso a la información personal. principio del mínimo privilegio.
Posibles impactos
Después de obtener acceso no autorizado, una persona podría exponer información confidencial o personal. Los infiltrados pueden poner en riesgo de manera significativa la confidencialidad, la integridad y la disponibilidad de los procesos y la información comerciales de su organización.
Cómo responder a una amenaza interna
Si una amenaza interna logra acceder sin autorización y realiza acciones no autorizadas, active su plan de respuesta a incidentes.
- Administre los controles de acceso y restrinja el acceso a cuentas administrativas y privilegiadas para reducir daños adicionales
- Rastrear y monitorear todos los puntos finales y dispositivos móviles, ya que una amenaza interna puede actuar de forma remota
- Verifique los registros de auditoría para identificar comportamientos sospechosos
- Informar a los proveedores de servicios externos, ya que la actividad maliciosa podría propagarse a sus sistemas o puede haberse originado en sus sistemas.
- Utilice la experiencia para crear conciencia y brindar capacitación personalizada
Asegúrese de seguir las pautas de comunicación descritas en su plan para informar a las partes interesadas. Si aún no tiene un plan de respuesta a incidentes, consulte Desarrollo de su plan de respuesta a incidentes (ITSAP.40.003).
Cómo gestionar los riesgos de las amenazas internas
Las amenazas internas son difíciles de identificar. Sin embargo, puede gestionar los riesgos implementando los siguientes controles de seguridad: políticas y procedimientos, control de acceso, auditorías y prevención de pérdida de datos.
Policias y procedimientos
Implemente políticas y procedimientos para definir claramente los requisitos de seguridad de su organización. Sus políticas y procedimientos deben definir el comportamiento esperado de todos los usuarios cuando utilizan las redes, los sistemas y la información de la organización.
Para evitar amenazas internas, debe abordar los siguientes temas en sus políticas:
- Evaluación de empleados
- Realizar verificaciones de antecedentes y evaluaciones de integridad iniciales y recurrentes de los empleados que manejan información confidencial.
- Implementar planes internos de movimientos y salidas, como realizar entrevistas de salida de empleados.
- Actividades obligatorias de formación y concienciación sobre ciberseguridad
- Cubre temas como phishing, exposición a malware y riesgos de las redes sociales.
- Adapte la capacitación para abordar las amenazas y los controles de seguridad específicos de la organización
- Proporcionar capacitación de actualización con actividades de concientización sobre seguridad.
- Acuerdos de seguridad con socios y terceros
- Asegúrese de que los datos de su organización estén ubicados en Canadá para fortalecer la protección de datos bajo la jurisdicción legal de Canadá
- Supervise y registre acciones rastreando quién accede a los datos y cuándo
- Determinar la confiabilidad de los socios y construir relaciones de confianza a largo plazo
Aprende más
Control de acceso
El control de acceso es la restricción selectiva del acceso de un usuario a redes, sistemas y datos mediante métodos de autenticación y autorización. Los empleados solo deben tener el acceso que necesitan para llevar a cabo sus funciones.
Considere los siguientes ejemplos de controles de acceso:
- Aplica el principio del mínimo privilegio Al asignar privilegios administrativos y acceso a la cuenta
- Implementar métodos de autenticación multifactor siguiendo nuestras Pasos para implementar eficazmente la autenticación multifactor (MFA) (ITSAP.00.105)
- Implementar la regla de integridad de dos personas (TPI)
- TPI Es un sistema en el que se requieren dos personas autorizadas para realizar una tarea, prohibiéndose la actividad individual.
- Puede ayudar a su organización a proteger material o operaciones críticas.
- Revocar el acceso a la cuenta y los privilegios administrativos cuando un usuario ya no los necesita, como cuando se muda a un equipo diferente
- Asegúrese de que se comprenda y practique el concepto de separación de roles entre administradores y usuarios en la red de su organización.
- Establecer listas de permitidos y denegados para proteger la información
Aprende más
Auditorias
Con las acciones de auditoría, puede recopilar, analizar y almacenar registros y registros asociados con las acciones de los usuarios en los sistemas de información. Algunas formas en las que puede utilizar los registros de auditoría para gestionar los riesgos asociados con las amenazas internas incluyen los siguientes ejemplos:
- Supervisar y registrar acciones detalladas para detectar cuándo se detecta un comportamiento inusual
- Registrar acciones y eventos y etiquetarlos con marcas de fecha y hora.
- Revisar periódicamente los cambios administrativos
- Seguimiento de dispositivos móviles que son propiedad de la empresa
- Implementar estrategias de gestión de eventos e información de seguridad (SIEM)
Para obtener más información, consulte Auditoría de seguridad de redes (ITSAP.80.086).
Prevención de pérdida de datos
La prevención de pérdida de datos (DLP) es un software que detecta y evita que los datos salgan del control de su organización. DLP El software utiliza alertas, cifrado y otras acciones de protección para evitar que los usuarios finales compartan datos confidenciales de forma accidental o maliciosa.
Dependiendo del presupuesto de seguridad cibernética de su organización, recomendamos implementar un perfil de control de seguridad si su organización maneja información altamente confidencial. Consulte nuestra Catálogo de control de seguridad (ITSG-33) para obtener más información sobre cómo seleccionar controles de seguridad para proteger sus sistemas de información.