Blog de WatchGuard

El 20% de las brechas de datos son producidas por insiders

Además de los atacantes externos, las organizaciones deberían tener en cuenta otro tipo de amenaza en el momento de planificar su estrategia de ciberseguridad: los atacantes internos. Existen distintos tipos de “insiders”, o personas con información privilegiada, que son capaces de generar aperturas de riesgo involuntarias dentro de una organización, mientras que otras lo hacen con fines lucrativos, extorsión o venganza. De este modo, los tipos de insiders se clasifican en:

  • Insiders accidentales: una persona dentro de la organización que realiza una acción inapropiada y potencialmente peligrosa sin saberlo.
  • Insiders negligentes: un empleado que no busca dañar a la empresa, pero que ha decidido llevar a cabo una acción arriesgada e inadecuada esperando que no se convierta en una amenaza.
  • Insiders maliciosos: una persona que posee información privilegiada y que actúa a sabiendas para perjudicar a la organización.

El Data Breach Report 2022 de Verizon revela que el 20% de las brechas de datos globales han sido producidas por agentes internos. Además, un estudio del Ponemon Institute apunta que el tiempo para contener un incidente de seguridad interna de este tipo se sitúa en una media de 85 días, lo que obliga a las organizaciones afectadas a invertir más recursos en su prevención, detección y remediación.

Insiders maliciosos

El informe de Verizon también indica que este año ha habido 275 incidentes provocados por el abuso intencional de privilegios, de los cuales 216 resultaron en divulgaciones de datos confirmadas. Un ejemplo de este abuso de información privilegiada es el caso de General Electric, donde un exempleado y un empleado actual de la compañía robaron registros de un programa informático y un modelo matemático que GE utilizaba para calibrar de forma experta las turbinas utilizadas en las centrales eléctricas. Además, descargaron miles de archivos del sistema de la empresa, entre ellos algunos que contenían secretos comerciales, para crear su propia empresa y competir contra su antiguo empleador.

El principal motivo para realizar este tipo de brechas de datos es el financiero (78%), aunque el rencor (9%), el espionaje (8%) y la conveniencia (6%) siguen estando presentes en los resultados del informe. Estos actores, en su mayoría motivados por el beneficio económico, roban datos personales (70%), y, en segundo lugar, datos médicos (22%), ya que ambos son fáciles de monetizar.

El papel del partner en una defensa proactiva

Los partners de ciberseguridad son los indicados para mitigar este tipo de ataques. Para aportar el valor que sus clientes necesitan, deben incorporar a su portafolio una solución de protección en el endpoint que aporte visibilidad de los dispositivos en la red y sea capaz proveer prevención, detección y respuesta, a las amenazas, así como detectar comportamientos extraños de los usuarios que la utilizan. Dicha solución debe incluir las siguientes características:

  • Funcionalidades EDR para la supervisión continua que detenga la ejecución de procesos desconocidos y automatice la detección, la contención y la respuesta ante cualquier amenaza avanzada.
  • Funcionalidades EPP que protejan contra virus, malware, spyware y suplantación de identidad.
  • Análisis de comportamiento y detección de scripts, macros, etc. de indicadores de ataques (IoA).
  • Filtrado de direcciones URL, control de dispositivos y firewall gestionado.

Esta solución de protección en el endpoint debe completarse con capacidades de monitorización de datos confidenciales y personales, que ayuden a establecer mecanismos de prevención y control, así como a evaluar el origen e impacto de una posible fuga de datos. 

Las herramientas de cifrado de datos son las más efectivas para evitar incurrir en los elevados costes asociados a la gestión de un data breach cuando estos se producen por la pérdida o robo de portátiles y unidades de almacenamiento extraíbles.

El MSP combinar una solución integrada de endpoint con productos de cifrado y control de datos.

Para un partner de ciberseguridad, la visibilidad es clave a la hora de responder a las alertas. Poder administrar distintas soluciones en un mismo panel administrado desde la nube genera una ventaja competitiva para los MSPs. Según una encuesta de Pulse, el 95% de los MSPs considera que son menos eficientes cuando tienen que alternar entre diferentes interfaces de producto. Por esta razón, las soluciones que integren a su portafolio deben simplificar su trabajo, mientras aportan la seguridad que requiere el panorama actual de amenazas cibernéticas, que es cada vez más complejo. Es hora de tomar una defensa proactiva.

Comparte esto: