Amenaza interna: detección y mitigación
La importancia de las amenazas
Las amenazas son un hecho de la vida diaria. Algunos tienen poca importancia, como la amenaza de lluvia en un día soleado o la amenaza de nieve cuando vive en los trópicos. Están ahí, pero la posibilidad de que sucedan es prácticamente inexistente. Por otro lado, muchas amenazas son reales y merecen una cuidadosa consideración. Por ejemplo, la amenaza de ser atropellado por un automóvil si cruza donde un letrero para peatones dice no camine, o la amenaza de lesiones si ingresa a un área de construcción. Independientemente del tipo, las amenazas son algo que debemos tomar en serio.
¿Qué es una amenaza interna?
En los negocios, una amenaza interna es una amenaza que se origina internamente. Piense en un empleado que roba algo de dinero, un contratista que copia los planos de un nuevo producto o un socio que toma prestado un equipo y lo rompe. El resultado final puede ser significativo. De hecho, las amenazas internas son uno de los mayores problemas que enfrentan las empresas en la actualidad. ¿Por qué? Porque las personas que las llevan a cabo, los insiders, ya están dentro del perímetro defensivo. Confiamos en ellos y no pensamos en ellos como una posible amenaza, hasta que es demasiado tarde.
¿Cómo se detectan las amenazas internas?
En un nivel alto, la detección de amenazas internas se reduce a dos cosas: asumir que todos son una amenaza potencial y prestar atención al comportamiento de todos. Asumir que todos son una amenaza significa que se aplica el mismo nivel de escrutinio a todos, independientemente de si se confía en ellos o no. Por ejemplo, todos obtienen tarjetas de acceso o credenciales, y su acceso a todas las áreas menos comunes se rastrea y registra. Cuando inician sesión en la red de la empresa, se guardan registros de los programas y datos a los que acceden. En última instancia, esto proporciona información que puede analizarse más a fondo.
Desde una perspectiva de comportamiento , echamos un vistazo a los patrones y variaciones en los registros. ¿Se está comportando una persona como se esperaba para su función? ¿Están accediendo al software y los datos adecuados para el trabajo que realizan? Los registros creados anteriormente ayudarán a determinar las respuestas a estas preguntas. A partir de ahí, se pueden tomar medidas correctivas, si es necesario.
¿Cómo mitiga las amenazas internas?
La mitigación de las amenazas internas lleva la detección un par de pasos más allá. Primero, el acceso a varias cosas como ubicaciones, software y datos está compartimentado , lo que significa que el acceso está restringido para que nadie sepa todo y nadie pueda acceder a todo. Solo conocen y pueden acceder a aquello que afecta directamente a su trabajo.
En segundo lugar, los activadores se configuran para notificar a las personas clave cuando los datos registrados sugieren que puede haber un problema. Un disparador es un mensaje o correo electrónico que se genera automáticamente en respuesta a algún evento o condición. Por ejemplo, se puede enviar un mensaje a seguridad si alguien ingresa a un área autorizada con demasiada frecuencia o si una persona se registra desde su casa a horas que se desvían de su patrón normal. En ambos casos, puede haber un problema que se puede abordar antes de que suceda algo grave.
Resumen de la lección
En resumen, una amenaza interna es aquella que se origina internamente. Hay dos reglas principales al intentar detectar amenazas internas , asumir que todos son una amenaza potencial y prestar atención al comportamiento. Esto significa rastrear el movimiento / acceso a través de registros y analizar los datos registrados en busca de patrones. La mitigación de las amenazas internas lleva esto más allá mediante la compartimentación o la restricción del acceso para que nadie pueda ver o tocar todo. También se utilizan disparadores o notificaciones automáticos.