La ciberseguridad ha cobrado gran importancia en nuestros días, no sólo por la información crítica que almacenan las empresas, sino también por el aumento de datos personales en línea. Sin embargo, es un tema que algunos dan todavía poco valor en México. Según datos de IDC, en México, 54.9 millones de personas han sido víctimas de al menos un crimen cibernético, de los cuales, el 58% sufrieron suplantación y robo de identidad, 17% fueron defraudados y el 15% vivieron algún hackeo. Esto convierte a México en el tercer lugar mundial en crímenes cibernéticos, después de China y Sudáfrica.
Referente a las empresas, las prácticas obsoletas de TI que proporcionan demasiado acceso por defecto están causando recurrentes pesadillas en materia de seguridad – y es hora de poner foco a la nueva realidad-: el mayor riesgo ya está en la nómina de las empresas. Cuando no existen barreras o políticas de seguridad concretas en los accesos que tienen los usuarios internos a los datos, esta información empresarial está totalmente expuesta a robo o uso malintencionado.
La detección de amenazas internas es un reto para las organizaciones debido a la combinación de las crecientes actividades digitales personales (navegar en la web, uso de aplicaciones móviles y la utilización de la nube). Dado que los usuarios internos tienen acceso a información valiosa, resulta difícil para las organizaciones discernir entre el apropiado acceso a datos y una verdadera amenaza de incidente interna.
Ante esta situación, Victor Anda, Country Director en Imperva México, ofrece siete pasos que ayudarán a su organización a detectar y contener toda amenaza interna:
1) Detección y clasificación de datos sensibles: La detección y la clasificación de datos sensibles y confidenciales es obligatorio hoy en día para las organizaciones. No puedes confiar en que los propietarios de la información hagan una clasificación consistente usando un proceso manual. Idealmente, es necesario clasificar un gran número de datos de forma predefinida y definir el soporte según el tipo y la categoría de la información. Las herramientas de clasificación de datos permiten identificar de forma automática la información crítica del negocio que está expuesta a un riesgo interno. Es recomendable también priorizar ciertos datos confidenciales basados en el nivel de exposición de riesgo que tienen en la organización.
2) Supervisar el acceso de todos los usuarios: El monitoreo exitoso debe rastrear a todos los usuarios (no sólo a los privilegiados) que acceden a bases de datos y archivos de red. Al monitorear quién, qué, dónde y cuándo, e identificar y aislar el comportamiento anormal, puede servir para evaluar si existe algún riesgo y responder apropiadamente. Aprovechar las herramientas integradas de auditoría nativa es costoso y no garantizará que esté captando todos los detalles importantes sobre cómo interactúan los usuarios con sus datos confidenciales.
3) Definir y hacer cumplir las políticas de la organización: La aplicación de políticas de seguridad permite prevenir de inmediato un comportamiento de acceso no deseado y refuerza la separación de responsabilidades. Las políticas deben cubrir tanto los requisitos de cumplimiento como de seguridad, brindando paralelamente la flexibilidad y escalabilidad que se adapte a las necesidades de la organización. Con un sistema de gestión de políticas fácil de usar, es posible procesar diversos conjuntos de reglas a través de repositorios de datos.
4) Aprovechar los avances en la Inteligencia Artificial para detectar amenazas desconocidas contra los datos de la empresa: El aprendizaje automático o “machine learning” puede detectar con precisión las amenazas desconocidas contra los datos mediante la selección masiva de los registros detallados de acceso a los datos. Esta tecnología permite a los equipos de seguridad establecer una línea de base de comportamiento del acceso de los usuarios a los datos e identificar rápidamente el acceso inadecuado o abusivo a los datos. Esto permitirá filtrar registros sospechosos, generando alertas para identificar proactivamente los incidentes de acceso realmente preocupantes. Los usuarios malintencionados que tienen acceso válido a datos empresariales y tienen la intención de robar deliberadamente datos clasificados, confidenciales o sensibles con la intención de causar daño, se podrán identificar fácilmente. El aprendizaje automático también ayuda a rastrear comportamientos de usuario comprometidos o descuidados que tienen el potencial de exponer al negocio a pérdidas masivas de datos.
5) Utilizar herramientas interactivas de análisis para investigar los incidentes de seguridad: Los equipos de seguridad deben ser capaces de profundizar rápidamente y entender todas las actividades de acceso a datos de usuarios individuales con el fin de investigar los incidentes que se identifican mediante el aprendizaje automático. Con la solución correcta, se puede analizar, correlacionar y ver la actividad de la base de datos desde prácticamente cualquier ángulo con sólo unos clics. Esto permitirá identificar fácilmente las tendencias y agrupar patrones que pueden ocultar riesgos de seguridad o problemas de cumplimiento. Las herramientas de auditoría deberían simplificar el análisis de los inicios de sesión fallidos, identificar fuentes de ataques, investigar operaciones no autorizadas y realizar un seguimiento de las operaciones privilegiadas.
6) Poner en cuarentena usuarios con posibles riesgos: Una vez que se hayan identificado actividades de acceso sospechosas, es recomendable profundizar con el departamento de auditoría para realizar análisis forenses y posteriormente decidir si se desea o no poner en cuarentena a un usuario para acceder a los repositorios de datos hasta que la investigación se haya completado. Las políticas granulares permiten bloquear el acceso a datos específicos y prevenir o contener de forma proactiva las violaciones de datos.
7) Generar informes para documentar incidentes de seguridad: La información exacta sobre todos los incidentes de seguridad relacionados con la información privilegiada proporciona una comprensión del estado de la seguridad general de la compañía y permite proporcionar información detallada a la administración. Además de los cuadros de mando gráficos, los informes predefinidos deberían estar disponibles en la solución. Además, las soluciones de seguridad deberían ofrecer la flexibilidad necesaria para crear informes personalizados.