Por un lado, la amplia difusión de las nuevas tecnologías hace el trabajo más fácil para los empleados de hoy debido a que no tienen que llevar personalmente los documentos a los clientes, muchas tareas pueden resolverse gracias al correo electrónico, los servicios en la nube, firma electrónica o llamadas por Skype. Sin embargo, las mismas tecnologías que nos facilitan del día a día podrían poner en peligro los datos confidenciales de la empresa, ofertas comerciales, cartera de clientes, informes financieros, documentación de contabilidad, etc.

En los medios de comunicación aparecen una gran cantidad de artículos que nos informan sobre el peligro que representan las amenazas externas, leemos acerca de los ataques de los hackers, sobre virus criptográficos, hablan de troyanos y malware, mientras que las amenazas internas a menudo se pasan inadvertidas. Pero podemos asegurar que las amenazas internas junto con la tecnología actual son mucho más peligrosas y perjudiciales que las externas.

En SearchInform nos dedicamos a la protección de la información privilegiada y la prevención del fraude corporativo de las empresas, contamos con más de 20 años en el mercado entregando soluciones contra las amenazas y los atacantes internos que se dedican a realizar actividades dañinas como cometer sobornos, realizar sabotaje y espionaje o pertenecen a grupos de riesgo y son adictos al consumo de drogas, alcohol o los juegos de azar, que intimidan a compañeros o subordinados y otros. Podemos citar muchos ejemplos de empleados que por años se aprovecharon de los recursos de la empresa para sus propios beneficios. Las empresas son mucho más vulnerables al atacante interno que de los ataques externos y sufren pérdidas mayores.

Amenazas internas

¿Cómo es exactamente que los empleados pueden causar daño a la empresa? ¿No deberían ser considerados como los mejores aliados?

La confianza en los empleados debe ser la base de toda relación laboral y está muy bien, pero negar la posibilidad que existan empleados inescrupulosos es muy riesgoso.

Hay que estar atento, las acciones de los empleados podrían dividirse en tres, las intencionales, las forzadas y las accidentales.

En las acciones intencionales podemos incluir el espionaje, el robo de datos, abuso en el uso de privilegios, etc. para beneficio propio o para recibir una recompensa.

Las acciones forzadas son las producidas por el chantaje o a la intimidación al empleado debido a su pasado o por problemas personales como la enfermedad de alguno de los miembros de su familia, deudas de juego, adicciones, etc.

Por esta razón, el departamento de personal junto y al departamento de seguridad informática deberían preocuparse en conocer los antecedentes de los empleados y si pertenecen a algún grupo de riesgo como adicciones al juego, drogas o alcohol o cuentan deudas impagas, etc. Todo esto representa una amenaza potencial para la empresa.

Por otro lado, las acciones accidentales son el resultado de la falta de capacitación, negligencia, incompetencia y descuido. Un empleado puede, sin darse cuenta, enviar un documento confidencial a un correo electrónico equivocado, guardarlo en una nube o enviar a imprimir un archivo y dejarlo sobre la impresora.

¿Cómo protegerse?

Estas amenazas son las más difíciles de detectar, porque son simplemente irracionales y hasta absurdas.

Casos reales de la práctica global

De acuerdo con un estudio realizado por Kaspersky Lab a nivel mundial, durante el año pasado el 42% de las empresas fueron víctimas al menos una vez del robo de información importante, como consecuencia de una brecha de seguridad o la fuga de datos. A estas conclusiones llegaron los especialistas de la compañía después de realizar una encuesta en 2016 entre más de 4.000 especialistas de 25 países.

Los daños por fuga de datos aumentan en proporción al tamaño de la empresa. Las pérdidas de las pequeñas y medianas empresas son en promedio unos $ 27.500, pero cuando se trata las grandes organizaciones esta cantidad asciende a $ 189.600.

Para graficar cual es la magnitud del problema, les contaré tres casos reales que ocurrieron en en el primer semestre de 2017.

Primera historia. El futbolista Neymar procesó al Estado brasileño por la filtración a la prensa del proceso administrativo abierto en contra su familia por una acusación de evasión de impuestos. La Corte se puso del lado del deportista y ordenó al gobierno pagar 14.000 euros a la familia del futbolista y reembolsar los gastos de abogados, unos cinco mil euros. En total, el gobierno brasileño asignó casi 20.000 euros porque los periodistas obtuvieron ilegalmente acceso a la información confidencial del juicio.

Segunda historia. The Wall Street Journal publicó resultados provisorios de la investigación de un incidente que involucró la fuga de documentos confidenciales del Centro de Inteligencia Cibernética de la CIA. Según fuentes bien informadas sobre el progreso del procedimiento, los sospechosos pertenecían a un reducido círculo de varios contratistas que habían cooperado con la CIA y que habían perdido sus empleos recientemente. Esta fuga de documentos confidenciales se dio a conocer el 7 de marzo de 2017, cuando WikiLeaks publicó la primera parte del bloque, que incluyó unos 9.000 documentos sobre las actividades del Centro de Inteligencia Cibernética de la CIA. Todo el archivo de los documentos confidenciales se conoce como Vault 7 en WikiLeaks y se le conoce como la mayor filtración de información en la historia de la CIA.

Tercera historia. Un estudio sugiere que agentes de bolsa podrían haber explotado los datos económicos oficiales del Reino Unido para ganar dinero. La investigación estuvo a cargo del profesor de Finanzas de la Universidad de West Virginia Alexander Kurov. El profesor estudió 207 informes estadísticos sobre la inflación, índices de producción industrial y tasa de desempleo que fueron publicados periódicamente durante los últimos 5 años. El investigador dijo, "sobre la base de lo que veo en los datos en este caso, es muy poco probable que estamos mirando un patrón aleatorio", aunque los movimientos eran minúsculos, las enormes cantidades de dinero negociado en los bonos del gobierno británico cada día significan que los cambios eran equivalentes a decenas de millones de libras en valor. Los operadores contaban con información privilegiada producto de distintas fuentes. El caso aún está siendo investigado.

¿Cómo protegerse?

El daño que puede provocar un atacante interno avanzado es mucho mayor que lo que podrían hacer una docena de hackers juntos. Sin embargo, es posible protegerse de las amenazas internas si siguen algunos pasos:

1. Organizar el trabajo del departamento de seguridad informática, capacitar al personal y darle las herramientas tecnológicas para controlar el máximo de canales de fuga de información.
2. Desarrollar una política de seguridad de la información corporativa, realizar una lista de amenazas a la información y la manera de combatirlas.
3. Restringir el acceso a la información. Los documentos confidenciales y sensibles deben estar disponibles sólo para determinados usuarios.
4. Implementar un software confiable para la seguridad de la información, un sistema DLP crea un perímetro seguro en torno a la red corporativa de la organización, donde se realiza la interceptación de los datos salientes y la supervisión de todo el flujo de datos tanto entrante como el saliente. Y no sólo el tráfico de Internet, sino cualquier información transmitida por cualquier canal de comunicación (la grabada en dispositivos externos, enviada a la impresora, los datos enviados por FTP, etc.).

Estos cuatro pasos ayudarán a crear un sistema de protección confiable que con la ayuda del DLP todos los canales de comunicación estarán bajo control, se podrán identificar grupos de riesgo (terrorismo, sobornos, drogadicción, abusos, etc.) y la empresa podrá monitorearlos de cerca.

Un sistema de prevención debe ser capaz de detectar y prevenir incidentes, el departamento de seguridad se debe dedicar prevenir las filtraciones y no solamente a atender las fugas y mitigar sus consecuencias.

Amenazas internas Casos reales de la práctica global