Amenaza interna

Riesgo percibido que se origina dentro de una organización

Una amenaza interna es una amenaza percibida para una organización que proviene de personas dentro de la organización, como empleados, ex empleados, contratistas o socios comerciales, que tienen información privilegiada sobre las prácticas de seguridad, los datos y los sistemas informáticos de la organización. La amenaza puede implicar fraude, robo de información confidencial o comercialmente valiosa, robo de propiedad intelectual o sabotaje de sistemas informáticos.

Descripción general

Los miembros de la organización pueden tener cuentas que les den acceso legítimo a los sistemas informáticos, acceso que originalmente se les dio para que cumplieran con sus funciones; estos permisos podrían usarse de forma abusiva para perjudicar a la organización. Los miembros de la organización suelen estar familiarizados con los datos y la propiedad intelectual de la organización, así como con los métodos que se han establecido para protegerlos. Esto hace que les resulte más fácil eludir los controles de seguridad de los que son conscientes. La proximidad física a los datos significa que el miembro de la organización no necesita piratear la red de la organización a través del perímetro exterior atravesando cortafuegos; en cambio, ya se encuentra en el edificio, a menudo con acceso directo a la red interna de la organización. Las amenazas internas son más difíciles de defender que los ataques de personas externas, ya que el miembro de la organización ya tiene acceso legítimo a la información y los activos de la organización. ^[1]

Un infiltrado puede intentar robar propiedad o información para beneficio personal o para beneficiar a otra organización o país. ^[1] La amenaza a la organización también podría ser a través de software malicioso que los antiguos empleados dejan funcionando en sus sistemas informáticos, una llamada bomba lógica .

Investigación

Las amenazas internas son un área activa de investigación en el ámbito académico y gubernamental.

El Centro de Coordinación CERT de la Universidad Carnegie-Mellon mantiene el Centro de Amenazas Internas del CERT, que incluye una base de datos de más de 850 casos de amenazas internas, incluidos casos de fraude, robo y sabotaje; la base de datos se utiliza para investigación y análisis. ^[2] El Equipo de Amenazas Internas del CERT también mantiene un blog informativo para ayudar a las organizaciones y empresas a defenderse contra los delitos internos. ^[3]

El Laboratorio de Amenazas y el Centro de Investigación de Seguridad y Personal de Defensa (DOD PERSEREC) también han surgido recientemente como recursos nacionales dentro de los Estados Unidos de América. El Laboratorio de Amenazas organiza una conferencia anual, la Cumbre SBS. ^[4] También mantienen un sitio web que contiene recursos de esta conferencia. Para complementar estos esfuerzos, se creó un podcast complementario, Voices from the SBS Summit. ^[5] En 2022, el Laboratorio de Amenazas creó una revista interdisciplinaria, Counter Insider Threat Research and Practice (CITRAP), que publica investigaciones sobre la detección de amenazas internas. ^{[ cita requerida ]}

Recomendaciones

En el Informe de investigaciones de violaciones de datos de 2022 (DBIR), Verizon descubrió que el 82 % de las violaciones involucraban al elemento humano y señaló que los empleados continúan desempeñando un papel principal en los incidentes y violaciones de ciberseguridad. ^[6]

Según la Oficina del Comisionado de Información del Reino Unido, el 90 % de todas las infracciones que se le comunicaron en 2019 fueron resultado de errores cometidos por los usuarios finales, frente al 61 % y el 87 % de los dos años anteriores. ^[7]

Un informe técnico de 2018 ^[8] informó que el 53 % de las empresas encuestadas habían confirmado ataques internos contra su organización en los 12 meses anteriores, y el 27 % afirmó que los ataques internos se han vuelto más frecuentes. ^[9]

En un informe publicado en julio de 2012 sobre las amenazas internas en el sector financiero de Estados Unidos ^[10] se ofrecen algunas estadísticas sobre los incidentes de amenazas internas: el 80% de los actos maliciosos se cometieron en el trabajo durante el horario laboral; el 81% de los autores planearon sus acciones de antemano; el 33% de los autores fueron descritos como "difíciles" y el 17% como "descontentos". En el 74% de los casos se identificó al infiltrado. En el 81% de los casos el motivo fue el beneficio económico, en el 23% la venganza y el 27% de las personas que llevaron a cabo actos maliciosos se encontraban en dificultades económicas en ese momento.

El Centro de Investigación de Seguridad Personal del Departamento de Defensa de los Estados Unidos publicó un informe ^[11] que describe los métodos para detectar amenazas internas. Anteriormente, publicó diez estudios de casos de ataques internos por parte de profesionales de la tecnología de la información . ^[12]

Los expertos en ciberseguridad creen que el 38% de los insiders negligentes son víctimas de un ataque de phishing , en el que reciben un correo electrónico que parece proceder de una fuente legítima, como una empresa. Estos correos electrónicos normalmente contienen malware en forma de hipervínculos . ^[13]

Tipologías y ontologías

Se han propuesto múltiples sistemas de clasificación y ontologías para clasificar las amenazas internas. ^[14]

Los modelos tradicionales de amenazas internas identifican tres grandes categorías:

• Personas con información privilegiada maliciosa, que son personas que se aprovechan de su acceso para causar daño a una organización;
• Personas internas negligentes, que son personas que cometen errores y no respetan las políticas, lo que pone en riesgo a sus organizaciones; y
• Infiltradores, que son actores externos que obtienen credenciales de acceso legítimas sin autorización.

Críticas

La investigación sobre amenazas internas ha sido criticada. ^[15]

• Los críticos han argumentado que la amenaza interna es un concepto mal definido. ^[16]
• La investigación forense del robo de datos internos es notoriamente difícil y requiere técnicas novedosas como la ciencia forense estocástica .
• Los datos que respaldan las amenazas internas generalmente son de propiedad privada (es decir, datos cifrados ).
• Los modelos teóricos y conceptuales de las amenazas internas suelen basarse en interpretaciones vagas de investigaciones en las ciencias sociales y del comportamiento, que utilizan "principios deductivos e intuiciones de expertos en la materia".

Los investigadores, que adoptan enfoques sociotécnicos, también han defendido la necesidad de considerar las amenazas internas desde la perspectiva de los sistemas sociales. Jordan Schoenherr ^[17] afirmó que "la vigilancia requiere una comprensión de cómo se estructuran los sistemas de sanciones, cómo responderán los empleados a la vigilancia, qué normas laborales se consideran relevantes y qué significa 'desviación', por ejemplo, desviación de una norma justificada de la organización o incumplimiento de una norma organizacional que entra en conflicto con los valores sociales generales". Al tratar a todos los empleados como amenazas internas potenciales, las organizaciones pueden crear condiciones que conduzcan a amenazas internas.

Véase también

• Seguridad informática
• Topo (espionaje)
• Servicio de Investigación Criminal Naval
• Amenaza (informática)
• Truco de confianza
• Corrupción (política)
• Contracción (contabilidad)

Referencias

1. "Contrainteligencia del FBI: La amenaza interna. Una introducción a la detección y disuasión de un espía interno". Fbi.gov. Archivado desde el original el 10 de febrero de 2014. Consultado el 8 de marzo de 2014 .
2. "El Centro de Amenazas Internas del CERT". Cert.org . Consultado el 8 de marzo de 2014 .
3. "Blog sobre amenazas internas". CERT . Consultado el 10 de agosto de 2012 .
4. "Blog sobre amenazas internas". ThreatLab . Consultado el 17 de julio de 2022 .
5. "Voces de la cumbre de SBS". ThreatLab . Consultado el 17 de julio de 2022 .
6. "Informe de investigaciones sobre violaciones de datos de Verizon de 2022 (DBIR)" (PDF) . Consultado el 23 de mayo de 2024 .
7. "La lucha por sus datos: mitigación del ransomware y las amenazas internas". Information Age . 10 de mayo de 2021 . Consultado el 20 de junio de 2021 .
8. "Informe sobre amenazas internas de 2018". Cybersecurity Insiders . Consultado el 13 de diciembre de 2018 .
9. "INFORME SOBRE AMENAZAS INTERNAS 2018" (PDF) . Crowd Research Partners . 4 de septiembre de 2017 . Consultado el 14 de junio de 2024 .
10. Cummings, Adam; Lewellen, Todd; McIntire, David; Moore, Andrew; Trzeciak, Randall (2012), Estudio sobre amenazas internas: actividad cibernética ilícita que implica fraude en el sector de servicios financieros de Estados Unidos, Instituto de Ingeniería de Software, Universidad Carnegie Mellon, (CMU/SEI-2012-SR-004)
11. Shaw, Eric; Fischer, Lynn; Rose, Andrée (2009), Evaluación y auditoría de riesgos internos (PDF) , Centro de investigación de seguridad del personal del Departamento de Defensa, TR 09-02
12. Shaw, Eric; Fischer, Lynn (2005), Diez historias de traición: la amenaza a las infraestructuras corporativas por Information Technology Insiders Analysis and Observations (PDF) , archivado desde el original (PDF) el 14 de octubre de 2012 , consultado el 18 de marzo de 2013
13. Informe sobre amenazas internas fortinet.com
14. Schoenherr, Jordan Richard; Lilja-Lolax, Kristoffer; Gioe, David (2022), "Múltiples caminos de aproximación a las amenazas internas (MAP-IT): caminos intencionales, ambivalentes y no intencionales hacia las amenazas internas", Counter Insider Threat Research and Practice
15. Schoenherr, Jordan; Thommson; Robert (2020), "Detección de amenazas internas: una solución en busca de un problema", Conferencia internacional de 2020 sobre seguridad cibernética y protección de servicios digitales (Ciberseguridad) , Conferencia internacional de 2020 sobre seguridad cibernética y protección de servicios digitales (Ciberseguridad), págs. 1–7, doi :10.1109/CyberSecurity49315.2020.9138862, ISBN 978-1-7281-6428-1, Número de identificación del sujeto  220606121
16. Coles-Kemp, Lizzie; Theoharidou, Marianthi (2010), Gestión de la seguridad de la información y amenazas internas. En Amenazas internas en la ciberseguridad (pp. 45-71) , Springer, Boston
17. Schoenherr, Jordan (2020), Comprender las sociedades de vigilancia: cognición social y adopción de tecnologías de vigilancia, IEEE ISTAS 2020

Enlaces externos

• Tecnología de detección, mitigación y monitoreo de amenazas internas [ShadowSight
• Espionaje naval: cómo frenar una peligrosa amenaza interna FBI
• Informe sobre el costo de un ataque interno del Instituto Ponemon
• Informe sobre amenazas internas de 2020 - Gurucul