Detectar la amenaza interna es un gran desafío para las organizaciones ya que compromete la confianza entre la empresa y sus empleados, contratistas y socios, lo cual es difícil de manejar y no darle la debida importancia podría causar graves daños a la empresa, tanto financieros como reputacional por el mal uso de la información.
Mientras intentamos mitigar el riesgo ante una amenaza que afecte a la información, es preciso entender que, los diversos enfoques que podamos adoptar para la seguridad de la información, no tendrán una solución que se adapte a los diversos tipos de ataque.
Tampoco existe un enfoque único que lo solucione todo, por consiguiente para controlar los problemas de seguridad, las organizaciones necesitan una combinación de capacitación permanente, procesos claros, simples, eficientes y disponer de la tecnología existente.
Las empresas vienen invirtiendo miles de millones de dólares en lidiar con la ciberseguridad, según los analistas y expertos en el año 2017 se gasto alrededor de $100 mil millones en la adquisición e implementación de soluciones tecnológicas de seguridad de la información. En el 2018 la cifra se elevo a más de US $114 mil millones y se estima que esta continuara creciendo.
El daño a la organización
Hay muchas maneras en que la amenaza interna puede dañar o afectar al negocio, si tomamos como ejemplo el caso de Edward Snowden, el robo de información militar confidencial y secreta aun continua causando problemas al ejercito de los Estados Unidos y a sus servicios de inteligencia, Snowden como muchas amenazas internas, no hackeó ningún sistema, simplemente copio la información a la que tenia acceso.
Otro caso de importancia fue el de Andrew Skelton auditor interno senior en la cadena de supermercados Morrisons en UK, legalmente tenía acceso a una gran cantidad de información confidencial de los empleados de la empresa. Cuando fue acusado de efectuar un mal uso de los recursos de la compañía, Skelton en represalia filtro información personal (salarios, números de cuentas bancarias, números del seguro social) de mas de 100,000 empleados en la web. El daño resultante a Morrisons fue de mas de 2 millones de libras esterlinas para indemnizar a sus empleados a pesar que la empresa no fue responsable de las acciones de Skelton.
En enero de 2019, el FBI acusó a Jizhong Chen, de nacionalidad china, por el robo de secretos comerciales de Apple. Chen trabajó en el proyecto del coche auto-conducido de Apple y se cree que robo propiedad intelectual clave, la cual pretendía vender a China. Chen tuvo acceso a la información por su trabajo en la empresa.
Un usuario envía un correo electrónico interno con información personal de los empleados, por ejemplo, la nomina de la empresa. Desafortunadamente, escribe la dirección de correo electrónico errada. El resultado es que la información terminan siendo enviada a personas ajenas a la empresa lo cual es una violación a las normas y podría causar contingencias.
Como observamos todas las vulneraciones y perdida de información fueron causadas por usuarios con accesos autorizados (amenaza interna) incentivados por diferentes motivos como; morales, represalias, económicos o por error, por cuanto es preciso controlar los diferentes tipos de amenazas internas que podrían ocurrir.
Existen 5 tipos de amenaza interna:
El Criminal
Esta Amenaza Interna se establece para robar, dañar o destruir información, para obtener beneficios económicos. El objetivo es la propiedad intelectual, listas de clientes o datos financieros. El caso de Jizhong Chen es un ejemplo de un atacante criminal.
El impulsado por la emoción
Estos son empleados que creen que la compañía u otro empleado los ha perjudicado de alguna manera. Tanto Andrew Skelton como Edward Snowden encajan en esta categoría. Ambos tuvieron problemas con sus empleadores, robaron y filtraron datos.
El Presionado
Este empleado tiene deudas, esta siendo extorsionado o participa en actividades ilícitas fuera del trabajo, principales causas de los presionados para robar información.
El Negligente
Son empleados que se niegan a acatar las normas teniendo un comportamiento riesgoso para la seguridad de la información. Sitios que visitan, el movimiento constante de información de la empresa a servicios en la nube inseguros o haciendo clic regularmente en correos electrónicos de phishing.
El Accidental
Son empleados que caen en una trampa de phishing bien elaborada o accidentalmente envían datos confidenciales por correo electrónico a direcciones de correo erradas.
