¿Qué es el riesgo interno? Cómo detectarlo y prevenirlo

¿Qué es el riesgo interno? Cómo detectarlo y prevenirlo

A diferencia de las amenazas internas, el riesgo interno no es un concepto ampliamente definido. Para solucionar este problema, hemos creado nuestra propia definición de riesgo interno.


Puntos clave

  • Este blog se publicó originalmente en el sitio web de Code42, pero con la adquisición de Code42 por Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
  • Las amenazas internas se centran en la identificación de usuarios maliciosos, mientras que el riesgo interno adopta un enfoque más amplio, centrado en los datos, para proteger a las organizaciones contra cualquier forma de vulneración de datos.
  • La gestión del riesgo interno enfatiza la protección de los datos mediante estrategias proactivas como el marco Archivo-Vector-Usuario y la detección de anomalías mediante indicadores de riesgo interno.

«El riesgo interno ocurre cuando cualquier exposición de datos (independientemente del valor percibido de los datos o la intención del usuario) pone en peligro el bienestar de una organización y sus empleados, clientes o socios».

El riesgo interno se centra en los problemas de datos de una organización, más que en los de sus empleados. La gestión de amenazas internas implica intentar determinar qué usuarios representan una amenaza para los datos de una organización y tomar medidas para gestionarlas. Sin embargo, este enfoque suele ser ineficaz, ya que la mayoría de las filtraciones de datos se deben a negligencia, lo que significa que centrarse en las «amenazas obvias» hará que se pasen por alto por completo.

En cambio, la gestión de riesgos internos se centra en los datos que corren el riesgo de verse comprometidos. Al supervisar las actividades que ponen en riesgo estos datos, la gestión de riesgos internos prepara a la organización para responder a cualquier posible filtración de datos, independientemente de su intención.

¿Por qué son tan peligrosos los riesgos internos?

Los riesgos internos son peligrosos porque cada riesgo interno es una posible filtración de datos a punto de ocurrir. Los riesgos internos se producen cuando se exponen datos valiosos y potencialmente perjudiciales para una organización. Esto puede ocurrir con o sin intención maliciosa por parte del usuario interno que causó la exposición.

Los empleados y otros usuarios internos necesitan acceder a datos confidenciales para realizar su trabajo. Sin embargo, existe una delgada línea entre el uso «seguro» y legítimo de los datos y los riesgos internos. Gestionar eficazmente el peligro de los riesgos internos requiere la capacidad de diferenciar entre las operaciones normales y los riesgos internos. Esto permite a la empresa gestionar estos riesgos y minimizar el impacto en la actividad legítima y la productividad de los empleados.

Los riesgos internos plantean desafíos para la exposición, fuga y robo de datos

Nuestros informes anuales de exposición de datos encuestan a 700 líderes empresariales, líderes de seguridad y profesionales de empresas de EE. UU. Obtenga más información sobre los factores que aumentan el riesgo interno. Lea el Informe de Exposición de Datos de 2022.

  • El 60 % de las filtraciones de datos se deben a información privilegiada.
  • El 96 % de las empresas enfrentan dificultades para proteger sus datos corporativos de los riesgos internos.
  • El 10 % de los presupuestos de las empresas se destina a gestionar los riesgos internos.

¿Cómo identificar los riesgos internos?

Un aspecto clave de la gestión de riesgos internos es diferenciar con precisión entre el uso legítimo y seguro de los datos y las acciones que ponen en riesgo a la empresa. Para ayudar a diferenciar entre estos dos casos, recomendamos utilizar el enfoque Archivo-Vector-Usuario planteando las siguientes preguntas:

  • Archivo: ¿Qué archivos son más valiosos para su empresa?
  • Vector: ¿Cuándo, dónde y cómo se mueve su propiedad intelectual (PI)?
  • Usuario: ¿Quién la mueve? ¿Es esto normal o anormal?

Estas preguntas ayudan a depurar la vasta colección de datos de su organización y las acciones realizadas con ellos, reduciéndolas a los verdaderos eventos de interés. Cada una de estas preguntas ayuda a eliminar parte del «ruido» que puede pasarse por alto sin problemas:

Archivo

Si bien su organización puede tener una gran cantidad de datos, no todos son sensibles o críticos para las operaciones. Determinar qué datos son importantes o potencialmente dañinos para su organización le permite ignorar en gran medida el resto.

Vector

Los datos se mueven constantemente por las redes de su organización, y la mayor parte de este movimiento forma parte de operaciones comerciales legítimas. Son las anomalías de las que debe preocuparse.

Usuario

No todos los usuarios de su organización son iguales. Algo que es normal para un administrador de bases de datos (como eliminar una tabla) es una señal de alerta importante para un empleado del departamento de finanzas. Este contenido es esencial para detectar riesgos internos.

¿Cuál es la señal más probable de un riesgo interno?

Intentar considerar individualmente cada dato y actividad en su entorno para detectar una posible amenaza interna no es un enfoque escalable. Afortunadamente, existen herramientas que pueden ayudar a diferenciar los riesgos de la actividad normal.

Los indicadores de riesgo interno (IRI) son anomalías que señalan un posible riesgo interno.

Cuatro ejemplos de indicadores de riesgo interno

  • Acceso a archivos en horarios inusuales
    La mayoría de los empleados tienen un horario de trabajo bastante estable. Si la cuenta de un empleado accede a datos fuera de este horario, podría indicar un intento de ocultar descargas de archivos o una cuenta comprometida.
  • Hitos del ciclo de vida
    Muchos empleados intentan llevarse datos consigo al dejar la empresa (voluntariamente o no). El acceso a archivos por parte de un empleado que deja la empresa o es despedido puede indicar un riesgo interno.
  • Extensiones de archivo engañosas
    Muchas soluciones de protección de datos se centran en bloquear la exfiltración de ciertos tipos de archivos según sus extensiones (.docx, .pdf, etc.). Los intentos de transferencia de archivos cuyo contenido no coincide con sus extensiones probablemente representen un riesgo interno.
  • Uso de dominios no confiables
    Las transferencias de datos dentro de la red y los dominios de una empresa probablemente sean legítimas y necesarias para el funcionamiento normal. Sin embargo, las transferencias a dominios externos y no autorizados, como una unidad de almacenamiento en la nube personal, pueden ser una señal de un riesgo interno.

Estos son algunos ejemplos de IRI que una empresa puede utilizar para la detección de riesgos internos.