Nunca interrumpas a tu enemigo cuando está cometiendo un error” By Napoleón B

Hace tiempo atrás, la motivación de los hackers era por ego, reconocimiento o valoración, para ser reconocido o recordado por un ataque X. En la actualidad eso ha cambiado bastante, ya que la motivación es económica, hackitivismo, lucrativo, cibercrimen organizado y estructurado.

Estas nuevas motivaciones han llevado a que las estructuras del cibercrimen recurran a reclutar y convencer a personal nuevo (sin antecedentes), personal actual de las organizaciones, contratistas y consultores, para que ejecuten la función de Insider y sean la contraparte del complot de los ataques cibernéticos.

Los Insiders son difíciles de detectar, debido a que se toman su tiempo para ganarse la confianza interna, cumplen por largo tiempo con todas las políticas, procesos y controles de seguridad internos, para no llamar la atención y no ser objeto de alertas. No obstante, en algún momento cometen un error o falta, que los ponen a la descubierta.

Las organizaciones deben poseer controles para cuando una amenaza Insider cometa un mínimo error o falta, sea descubierto. Estos son algunos de los controles y medidas a ser considerados:

1.     No deben existir excepciones para el registro de logs y pistas de auditorías para todo el personal en los activos tecnológicos y de información.

2.     Revisar en las políticas internas los niveles de sanciones y faltas, con sus consecuencias claras.

3.     Implementar soluciones de detección de comportamiento anómalo (behaviour) para el personal, sobre todo, el catalogado del alto riesgo.

4.     El control de revisión de antecedentes y background del personal a contratar en la organización es importante, no obstante, más del 50% de los Insiders se van al lado oscuro del Cibercrimen ya laborando en la organización.

5.     Establecer restricciones de horario para los accesos y recursos tecnológicos, en especial para las conexiones externas.

6.     Aplicar al pie de la letra los siguientes controles:

·       Segregación de Deberes-SoD (perfiles, roles, raci, etc.).

·       Vacaciones (detectar los que nunca han tomado vacaciones o los que tienen mucho tiempo de acumulación de las mismas).

·       Cruce de Funciones o Conocimientos (Evitar los dioses internos que se saben todo ellos solos).

·       Movimientos o traslados de cargos con alto poder de decisión y regionales.

7.     Ejecutar mantenimientos y cambios periódicos de credenciales de alto riesgo, de servicios internos y web, como página web, redes sociales, APIs, otros. Con fines de que ningún personal saliente de la organización con conocimiento de credenciales, pueda ejecutar cambios a nivel externo o vía otro Insider interno. Con esto se reduce el fraude externo informático.

8.     Para los procesos críticos, aplicar autorizaciones y aprobaciones de doble custodio o doble responsables (Dual Control, Split Knowledge).

9.     Para la toma de decisiones importantes y que conlleven otorgar accesos a opciones delicadas o consultas de informaciones confidenciales, se deben existir equipos o comités multidisciplinarios con poder decisivo y de voto, incluidas las áreas de control: riesgo, cumplimiento, seguridad, etc.

10.  Mas allá de implementar DLP (Data Loss Prevention), se debe establecer una matriz del personal que posee acceso a las informaciones confidenciales y sensibles, tanto digitales como físicas.

11.  El área de riesgos debe gestionar una matriz del personal de alto riesgo, por sus funciones, nivel de jerarquía, niveles de privilegios y accesos a informaciones confidenciales. Esta matriz permitirá concentrar esfuerzos en los perfiles de riesgos más probables a ser o convertirse a Insiders.

12.  Deben existir unidades de Prevención de Fraudes e Investigaciones. Estas unidades deben ser independientes y tener acceso a las alertas detectadas de posibles Insiders a ser investigados.

En conclusión, la amenaza Insider se ha estado expandiendo con el tiempo, sobre todo, por su efectividad de ocultamiento y por su prolongado tiempo en ser detectada. Las organizaciones deben prestar más atención al personal interno, sus acciones, actividades sospechosas, cambios de comportamiento y hasta cambios abruptos e injustificados en su estilo de vida.