Una amenaza interna es cualquier actividad de acceso no autorizado o no intencionado a los datos o sistemas de información de una organización que se origina en un individuo que trabaja para la compañía. La información privilegiada no necesariamente tiene que ser un empleado actual, podría ser un contratista o un empleado temporal o anterior. Las amenazas internas pueden provocar el robo de datos, el uso indebido de los mismos, el sabotaje, el espionaje y el fraude, así como el compromiso de la integridad, disponibilidad y confidencialidad de los datos.
Registre y monitoree constantemente el patrón normal del comportamiento de los empleados para comparar la actividad repentina o inusual. Analice el volumen neto de transferencia de archivos a través de su red, intentos de acceso total a sus archivos más críticos y otros puntos de acceso para una detección más fácil de las anomalías.
Restrinja la presencia de archivos, carpetas y recursos compartidos sobreexpuestos. Use un sistema de administración de acceso robusto para evitar el acceso injustificado y reducir la cantidad de puntos de acceso a través de los cuales los actores maliciosos pueden acceder fácilmente a los datos de su organización.
Determine el tipo de datos que procesa su organización, que tan críticos son los datos, dónde están almacenados y quién tiene acceso a ellos. Un inventario de los datos de su organización y otros detalles relevantes ayudan a establecer el tipo de medidas de seguridad y control de acceso necesarias. Además, todos los proveedores de terceros que trabajan con su organización deben realizar evaluaciones de riesgos para investigar a fondo su gestión de seguridad y mantener su organización segura.
Capacite regularmente a sus empleados sobre cómo detectar y evitar escenarios comunes de ataques internos, como correos electrónicos de phishing. Eduque y advierta a sus empleados sobre las consecuencias de violar las políticas y procedimientos de seguridad.
Implemente autenticación multifactor o avanzada y aplique políticas de contraseñas seguras para fortalecer la red de su organización. Además, bloquee a los usuarios de sus sesiones después de un período de inactividad para evitar que los actores maliciosos utilicen los sistemas abandonados en medio de una sesión.
Monitoree de cerca a los empleados y a terceros para detectar comportamientos sospechosos cuando se acerquen al final de su servicio. Inhabilite cada uno de sus puntos de acceso a los diversos recursos físicos y de TI de la organización inmediatamente después de que salgan de la organización.
Una bomba lógica es una pieza de código malicioso oculto dentro de un script que se activa cuando se cumple una condición particular, como una fecha, hora o inicio específico de una aplicación. La clara segmentación de los deberes y las revisiones de código podrían ayudar a disuadir a los actores maliciosos de estallar una bomba lógica.
El uso de técnicas de remediación activa, como el bloqueo de USB, un fuerte filtro de correo electrónico y ventanas emergentes que solicitan autorización al acceder a archivos críticos, ayuda a construir la defensa de su organización contra ataques internos no intencionales.
Diseñe e implemente políticas de acceso remoto con un escrutinio adicional para garantizar que solo los empleados y socios de confianza tengan acceso. Limite el acceso remoto solo a los dispositivos emitidos por su organización. Monitoree y controle el acceso remoto desde todos los puntos finales, especialmente los dispositivos móviles.
Capture y grabe todos los archivos de acceso y transferencia. Analice y cree una línea de base para el comportamiento del usuario y la red para detectar fácilmente las desviaciones del patrón regular.