INSIDERS

¿Qué es un Insider?

Un Insider, también conocido como amenaza interna, es un riesgo que se origina dentro de cualquier organización. Podríamos definir a un Insider como cualquier persona que trabaja en una organización y cumple los siguientes requisitos:

Tener o haber tenido acceso, de manera autorizada, a la red, a los sistemas o a los datos de una empresa.

Haber excedido o usado, intencionalmente, ese acceso de manera que haya afectado, negativamente, a la confidencialidad, integridad o disponibilidad de la información, los sistemas o los recursos de la organización. 

Esto no quiere decir que el actor deba ser, únicamente, un empleado o un funcionario actual de la organización. También puede ser un consultor, un exempleado, un socio comercial e, incluso, un miembro de la junta. Los Insiders o amenazas internas no sólo conocen las políticas, procedimientos y tecnología de su organización, sino que también son conscientes de sus vulnerabilidades como, por ejemplo, las políticas y procedimientos impuestos o, por ejemplo, fallos técnicas explotables en las redes o sistemas de la organización.

Según el Informe de investigaciones de violación de datos de Verizon 2019, los actores internos están involucrados en el 34% de las violaciones de los datos de una organización. Además, el 17% de todos los archivos confidenciales son accesibles para todos los trabajadores. Así pues, los insiders pueden producir ataques internos en todos los sectores de la organización como, por ejemplo:

Ataques de baja tecnología como modificar o robar información confidencial o sensible para beneficio personal.

El robo de secretos profesionales o de información de clientes para ser utilizados con fines de lucro o para dárselos a un gobierno u organización extranjera.

Delitos técnicamente sofisticados que permiten sabotear los datos, sistemas o redes de la organización.

Incidentes de violencia o sabotajes en el lugar de trabajo que causaron la pérdida de vidas humanas o lesiones.

Sin duda, el fenómeno de los insiders siempre ha dado mucho que hablar por su impacto, pero volviendo a las anteriores estadísticas, ¿qué quieren decir? Los Insiders tienen las capacidades, motivaciones y privilegios necesarios para afectar a la organización, especialmente para robar datos importantes.

De esta manera, un Director de seguridad y un Director de Ciberseguridad deben identificar y construir una defensa contra todos estos vectores de ataque. En otras palabras, cualquier persona que tenga conocimiento interno y/o acceso a los datos confidenciales de la organización, tecnologías de la información o recursos de red es una amenaza potencial interna o Insider. Si quieres aprender a investigar las amenazas que campan a sus anchas por el ciberespacio, clica aquí.

Tipos de Insiders

Para proteger una empresa de los Insiders, es fundamental comprender cómo son esas amenazas internas y evitar la digitalización masiva de todos los datos, sean confidenciales o no.

Si quieres formarte y certificarte en Inteligencia competitiva para anticiparte a cualquier riesgo, amenaza u oportunidad en el mundo empresarial, haz clic aquí.

Los dos tipos principales de Insiders son las personas maliciosas y participantes involuntarios:

1. PERSONAS MALICIOSAS (TRABAJADORES INFIELES)

Son personas que están actuando en contra de la organización desde dentro, a sabiendas y con toda la intencionalidad. En la mayoría de los casos, es un empleado o un contratista, alguien que se supone que tiene acceso físico (o digital) a la organización, pero que abusa de su acceso por diversión, venganza o para obtener algún tipo de beneficio a nivel económico. Algunos de los motivos que impulsan este tipo de comportamiento son los siguientes:

Ánimo de lucro: venta de secretos a empresas de la competencia o gobiernos extranjeros.

Cambio o mejora profesional: llevar documentos a un competidor o adversario. 

Venganza: como represalia a una situación que entienden injusto.

2. PARTICIPANTES INVOLUNTARIOS O COOPERADORES NECESARIOS

Un participante involuntario no es más que un peón, un empleado corriente: un buen hacedor que comete un error que es explotado por un mal actor o que, de otra manera, conduce a afectar directa o indirectamente a la organización a la que pertenece. Algunas acciones que pueden producirse de manera involuntaria son las siguientes:

Extraviar un ordenador o teléfono móvil.

Envío de un documento privado por correo electrónico a la persona equivocada.

Ejecutar un archivo malicioso (malware).

Introducir datos confidenciales como contraseñas corporativas en una página de phishing

Hacer clic en un ransomware.

Cómo detectar a un Insider

Hay comportamientos comunes que sugieren un Insider o amenaza interna activa, ya sea digital o en persona. Estos indicadores son importantes para el personal de seguridad y contrainteligencia, especialmente el Director de seguridad y el Director de Ciberseguridad, lasí como los arquitectos de seguridad y sus equipos para monitorizar, detectar y detener posibles amenazas internas o Insiders.

A continuación, te ofrecemos una lista de las señales o indicadores de advertencia digital y de comportamientos comunes de un Insider que es conveniente monitorizar:

- SEÑALES DE ADVERTENCIA DIGITAL

- Descargar o acceder a cantidades sustanciales de datos

- Acceder a datos confidenciales no asociados con su función laboral

- Acceder a datos que están fuera de su perfil de comportamiento único

- Múltiples solicitudes de acceso a recursos no asociados con su función laboral

- Uso de dispositivos de almacenamiento no autorizados (p. Ej., Unidades USB o disquetes)

- Rastreo de red y búsqueda de datos confidenciales

- Acumulación de datos, copia de archivos de carpetas confidenciales

- Enviar datos confidenciales por correo electrónico fuera de la organización