Centro de Investigación Informática Lazarus

Cómo determinamos amenazas internas con análisis de comportamiento

Podemos indicar que actualmente las amenazas internas en las empresas son un gran foco de preocupación en temas de seguridad informática, esto debido a que en los últimos años ha ido aumentado el porcentaje de ataque internos, esto ocasiona pérdidas monetarias de alto impacto para las empresas, así como también causa daños a software o bloqueos a plataformas o usuarios legítimos.

Estas amenazas internas son más fáciles de ocurrir debido a que son usuarios que ya están en la red interna de la empresa, a diferencia de un ataque externo, ya el empleado o usuario que está en la red de la empresa tiene un paso adelante en comparación al usuario externo, incluso hay empleados que pueden ocasionar amenazas sin saberlo o sin intención debido a que tienen permisos a aplicaciones, claves o servidores que al modificar pudieran estar en riesgo de seguridad.

Descubrir estas amenazas es más complicado para el área de seguridad informática, ya que se hace más fácil ocultar estos ataque al estar en la empresa y son diferentes los escenarios que los desencadenan. Puede ocurrir con un empleado descontento, un usuario descuidado con niveles de permisos altos o empleado espía que vende información a la competencia. El departamento de seguridad informática debe reconocer el problema en la empresa y reportar inmediatamente y tomar las previsiones para evitar daños y corregir la brecha de seguridad lo antes posible.

Podemos mencionar, entre las principales señales o comportamiento sospechoso, las siguientes banderas de alarma:

  • Estar en la oficina frecuentemente fuera del horario de trabajo, esto para poder realizar el ataque sin ser vigilado por otros empleados.
  • Uso de dispositivos de almacenamientos portátiles donde se pueda trasladar información confidencial fuera de la empresa. En algunas empresas para evitar esto se prohíbe el uso de estos dispositivos, entre ellos podemos mencionar: pendrive, memorias SD o discos duros externos personales.
  • Ver comportamiento de rechazo o molestia hacia la empresa.
  • Trata de ingresar a datos confidenciales que no corresponden a su área o almacenamiento de datos confidenciales en dispositivos de almacenamiento esto con motivo de sacar físicamente datos de la empresa.
  • Envío de correos electrónicos de la compañía a correos externos, sin justificación real, esto pudiera indicar que se está enviando datos confidenciales a personas o grupos ajenos a la empresa.
  • Estas personas en ocasiones presentan comportamientos extraños que podemos detectar en su forma de actuar, cambiando su forma de ser habitual.

Para evitar estos ataques el departamento de seguridad informática debe tomar medidas entre las que podríamos mencionar las siguientes:

  • Crear procedimientos de acceso a datos confidenciales.
  • No permitir acceso a datos confidenciales o importantes a cualquier usuario de la empresa sino crear grupos de acceso según sus cargos y área de trabajo.
  • Monitorear la actividad en la red y activar las alarmas con los comportamientos inusuales en cualquier usuario de la empresa.
  • Evitar el envío de correos electrónicos a usuarios externos exceptuando cargos que justifiquen esos envíos y se cumplan las políticas de seguridad al momento de enviar dicho correo.
  • Capacitar al personal de la empresa a través de campañas de concientización, para evitar dar accesos indebidos y evitar brechas de seguridad que pueda ocasionar un usuario inexperto o descuidado.

Te recomendamos

Deja una respuesta

¿Conoces el Grupo Lazarus?

× ¿Cómo puedo ayudarte?