Malicious Insiders: ataques internos de empleados

¿Conoces la expresión «Malicious Insiders«?

Tiene fácil traducción, vienen a ser estos traidores que trabajan contigo o para ti y que te la pueden liar gorda.

Ocurre de manera mucho mas frecuente de lo que somos capaces de asumir.

Y las consecuencias son desbastadores. Créeme.

Si no lo has recapacitado todavía déjame que te diga dos cosas:

1. Son la mayor amenaza para cualquier organización dada su condición privilegiada dentro de las entrañas de la empresa.
2. La mayoría de las empresas no pone medios para evitar daños de posibles Malicious Insiders

Esto mismo lo explicaba de manera mucho mas rigurosa y completa Chema Alonso en su post:

«Los malicious insider y el control de cuentas privilegiadas»

De hecho, Chema comenta en su post lo precario que es el sistema de control de cuentas privilegiadas en muchas empresas : «algunas empresas se gastan grandes cantidades de dinero en tecnologías super-fashion, los BASICS de muchas empresas siguen estando sin resolverse de forma segura, y uno de ellos es el control de identidad. Haz una prueba y dime: ¿Cuántos sistemas críticos de tu organización tienen como único control un usuario y contraseña?« – Chema Alonso

Sobre esto intercambiamos unos tweets el gran Chema y yo:

@chemaalonso pero aquí las bellas durmientes siguen actuando como si nada de esto fuera posible,siendo la LOPD un tema marginal para muchos.

— Marina Brocca (@marinabrocca) July 21, 2015

.@marinabrocca queda tanto aún para que se hagan las cosas medicine… }:S

— Chema Alonso (@chemaalonso) July 22, 2015

¿Incautos o manifiestamente tontos?

Me lo pregunto muchas veces cuando me enredo en debates interminables con algunos profesionales sobre la importancia de la seguridad interna.

Las respuestas mas comunes son:

«llevamos años trabajando de esta manera y no hemos tenido ningún problema»

«yo confío en todos mis empleados»

«nadie cumple con esos estándares de seguridad»

Te ahorraré mi opinión personal sobre la talla argumental de estas respuestas, presupongo una inteligencia suficiente para no tener que justificar lo injustificable.

Solo puedo decir una cosa: No vale llorar luego.

Porque cuando ocurre, hay llanto para humeder el Sahara.

El pensamiento mágico empresarial

Tal como comentaba Chema, falta mucho tiempo para que evolucionemos hacia una mentalidad preventiva en lugar de limitarnos a jugar a la ruleta rusa.

El pensamiento mágico empresarial sostiene que si no pienso en eso, nunca pasará.

Así me hago el sueco y cruzo los dedos para que no me salga un Malicious Insider, la socorrida táctica del avestruz vamos.

Lo veo cada día y de formas que me dejan patidifusa.

La ultima modalidad: la práctica BYOD

La modalidad Bring Your Own Device (BYOD),  “trae tu propio dispositivo” es una corriente empresarial en auge. Es el propio empleado quien aporta su soporte informático a la organización, su portátil, tablet, etc.

Si ya supone un riesgo un empleado mosca con acceso a datos de empresa, imagina lo que supone que además, esos datos pasen por su propio equipo.

Piensa en el riesgo que supone para la seguridad de la red corporativa.

Anticipa el peligro para la información confidencial de la empresa.

Y no hablo solo de empleados Malicious Insider, también las consecuencias de hechos fortuitos o accidentales.

Si, por ejemplo, un empleado pierde su portátil  y no se cuenta con una protección adecuada o un sistema de eliminación remota de datos, la persona que lo encuentre puede tener acceso a información privada de la compañía.

Una medida preventiva sería que jamás y bajo ninguna circunstancia, los empleados trabajaran en local, pero sigue existiendo un alto riesgo de copia o volcado de datos al propio equipo, a menos que sea materialmente imposible por las propias medidas de seguridad del equipo.

Otro riesgo: si un usuario se conecta a la red corporativa con un dispositivo infectado con algún tipo de malware, puede  infectar a toda la red de la empresa, con lo cual, la empresa deberá exigir a todos los empleados la instalación de sistemas de antivirus robustos y tener potentes cortafuegos así como sólidos sistemas de respaldo.

Otro caso conflictivo: los trabajadores que causen baja por despido

En el caso de los trabajadores que cursen baja la cosa se complica, en especial si se trata de un despido (ya sabemos como se las gastan algunos)

El resentimiento el el mayor factor de riesgo para la seguridad de cualquier negocio, pero también la necesidad de supervivencia : ¿Cuantos empleados se llevan la cartera de clientes como dote para solicitar otro puesto?

Habría que diseñar un mecanismo de devolución o borrado de información correspondiente a la empresa o eliminarla de modo remoto.

Recomendaciones para prevenir el daño de los Malicious Insider

• Por un lado, el acceso y los servicios de la red corporativa deben estar protegidos. También hay que contar con una capa de seguridad adicional para todos los dispositivos que se conectan a la red.
• No puede existir información en local perteneciente a la empresa.
• Es muy importante asegurar la transmisión de datos a través del cifrado de la información. Una práctica muy recomendable consiste en ofrecer a los empleados la documentación necesaria para una utilización segura de la red corporativa.
• Control interno de accesos de la empresa es fundamental, para que sepamos cuándo se ha accedido a una aplicación, quién ha entrado, qué documentos ha utilizado, modificado, descargado, etc.  Si ademas trabajas con modalidad  BYOD, tus empleados no deberían tener ningún dato de la empresa en sus equipos, o en todo caso, si tienen datos en local, tienen que estar administrados por la empresa, para proceder a su borrado remoto en caso de necesidad.
• Y el consejo final de Chema Alonso: «Nosotros, cuando pensamos Latch, lo pensamos pensando incluso en estos escenarios y hemos implantado en algunas empresas sistemas de 4-Eyes Verification, 2-Keys Activation o Supervisión, para conseguir que a una persona, no le sea suficiente con su usuario y contraseña y necesite la autorización de un igual o un superior para acceder a determinadas aplicaciones, ya sea por que su Latch está controlado por un igual o superior, o porque es otro el que necesita abrir el Latch del activo al que se quiere conectar.»

Me despido con una pregunta incómoda: ¿estás jugando a la ruleta rusa en tu empresa?

Si tu empresa no puede mantener los accesos y datos estancos desde estos equipos personales, tal vez lo mejor es no implantar políticas de BYOD en la empresa.

Imagen: Apetitu