02 Dic

Cuando la amenaza viene de dentro

Si hablamos de delitos informáticos lo habitual es pensar que quienes los llevan a cabo son desconocidos sin rostro, ubicados lejos de la organización, pero no siempre es así…

 

A lo largo de los años ha habido un gran número de delitos informáticos en donde empleados han llevado a cabo una serie de acciones malintencionadas como pueden ser la malversación de fondos o ataques de venganza tras haber sido despedidos

El “Convenio de Ciberdelincuencia del Consejo de Europa” define delito informático como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”.

Cuando se habla de este tipo de delitos lo más habitual es pensar que quienes los llevan a cabo son desconocidos que residen lejos de nuestro entorno. A la mayoría de las organizaciones no les agrada el hecho de pensar que el enemigo podría estar trabajando internamente para la misma. Sin embargo, los empleados tienen acceso directo y privilegiado a los activos de la compañía, muchas veces sin ser monitoreados, en comparación con el tráfico que ingresa a la red desde Internet. La combinación de demasiada confianza, fácil acceso a la información y falta de controles hacen posible que el fraude y el abuso interno pasen desapercibidos.

Un gran número de delitos informáticos siguen produciéndose por parte de empleados que llevan a cabo acciones malintencionadas como malversación de fondos, ataques de venganza tras haber sido despedidos o robo de información.

Cuando la amenaza viene de dentro¿Para qué se utiliza comúnmente la información robada por los empleados?

En una reciente edición del “Data Breach Investigations Report“ de Verizon, se alertaba de que el robo de información personal y registros médicos hacen posible delitos tales como el robo de identidad, fraude en la devolución de impuestos y muy de vez en cuando el simple chisme. En general, el 24% de la información robada suele ser de carácter confidencial, lo cual incluye proyección de ventas, planes de marketing y otra propiedad intelectual, gran parte de la cual suele filtrarse con el fin de ser utilizada para espionaje.

Pero, ¿cómo suelen los empleados hacerse con la información? La fuente mencionada anteriormente indica que los empleados logran acceder a la información que roban mediante saqueo de bases de datos (57% de los casos), revolviendo documentos impresos (16%) y accediendo al correo electrónico de otros empleados (9%).

La falta de reglas, políticas y concienciación en las organizaciones hace que los empleados sean tentados a cometer delitos informáticos, que en muchos casos son difíciles de detectar una vez llevados a cabo, como por ejemplo la fuga de datos. Pero existen medidas eficaces capaces de persuadir y prevenir estos delitos, como la implementación de políticas de uso aceptable firmadas por los empleados en conjunto con planes de capacitación y concienciación que pueden ser además utilizadas como elemento con validez legal en caso de litigio, por lo cual constituyen también elementos que reducen la consecuencia en caso de que se consume algún tipo de delito.

Otra efectiva medida es la correcta implementación de políticas y gestión de contraseñas y controles de acceso, o una estrategia de respaldos y un plan de contingencia bien implantados. Todo ello ayuda a prevenir la pérdida de datos o la denegación de los servicios en caso de ataques a los sistemas de información de la organización.

Conclusiones

A la hora de llevar adelante la gestión de seguridad de la información, las organizaciones deberían considerar la implementación de medidas apropiadas, habiendo demostrado que el recurso humano interno puede resultar una fuente importante y usualmente ignorada de delitos informáticos. Hay que recordar que, si bien es relevante disponer de soluciones perimetrales importantes para protegerse de las amenazas externas, también es igualmente importante darse cuenta que internamente existe una exposición de riesgo elevado. Empleados, contratistas y trabajadores temporales, quienes tienen acceso directo a recursos críticos, introducen riesgos que necesitamos comprender y mitigar. Por lo tanto, si a alguien se le informa cuándo está transgrediendo la ley, se le hace un monitoreo con distintas herramientas – y es conocedor de ello – y, a su vez, se lo capacita y sensibiliza, en el caso de que esta persona decida cometer un delito, todo lo que ya se hizo representa un conjunto de elementos que ante un litigio puede ser utilizado en su contra.

Matías Daniel Adés. Ingeniero en Sistemas de Información. Experto en Ciberseguridad en Grupo Alfatec.

Compártelo