Cómo proteger los datos sensibles en las empresas: Estrategias para mitigar la amenaza interna

Sorry to disappoint you, but no, la declaración de misión de la NSA no es "En Dios Confiamos, a los demás los Monitoreamos", sino algo mucho menos controvertido, aunque más ambicioso encuentro: "Defendiendo nuestra Nación. Asegurando el Futuro".

Independientemente, sentí que esta leyenda urbana era una introducción perfecta a este blog donde quería compartir algunas ideas sobre cómo las empresas podrían abordar el problema de la "amenaza interna".

La amenaza interna, ya sea con intención maliciosa o debido a acciones erróneas de un empleado actual o anterior, contratista, etc., se cita regularmente como la principal fuente de violación de datos (cf. GRC Tuesdays: Una Respuesta Eficiente de Ciberseguridad Requiere el Perfilado de Violaciones de Datos ).

A pesar de este hallazgo que está lejos de ser nuevo y que es citado regularmente por analistas expertos, muchas empresas aún se encuentran en la fase inicial de mitigación de este riesgo.

En este breve blog, me gustaría sugerir algunas opciones que, combinadas, pueden ayudar a las empresas a proteger mejor la información almacenada en sus sistemas. Por lo tanto, no monitorear el perímetro, sino los datos mismos.

Por supuesto, mi primera sugerencia sería recomendar un proceso de gobernanza de acceso que defina con precisión las políticas de acceso y autorizaciones de los usuarios, pero aquí me gustaría ir un paso más allá, ya que considero que el enfoque de gobernanza de acceso ya es perfectamente entendido por la mayoría de las organizaciones.

Bloquear la información

El primer paso que podría considerar es limitar la superficie de ataque al reducir el riesgo de filtración de datos sensibles. Para hacerlo, ¿por qué no enmascarar datos específicos que no son necesarios para que los usuarios realicen sus tareas diarias? En resumen: trabajar en base a la necesidad de saber. Esta protección podría estar asociada a roles o a través de atributos para reglas más granulares y precisas, de modo que desenmascarar requiera derechos de acceso explícitos. Por ejemplo, ¿un operador de servicio de asistencia de TI que lo ayuda a solucionar problemas de acceso a su portal de seguros necesita poder acceder a su información médica detallada?

Considérelo como el control de crucero en su automóvil. Si se establece, y a menos que decida sobrescribirlo, no será atrapado por exceso de velocidad.

Registrar las acciones de los usuarios

En algunos casos, enmascarar la información no es posible, ya que los usuarios necesitan acceder a ella precisamente para realizar su trabajo. Aquí, la idea es mantener los datos accesibles, pero registrar el acceso para un análisis posterior. Llegaremos a este punto en el siguiente punto de la lista.

Esto ayudará a garantizar el acceso de datos conforme, pero también permitirá la identificación rápida e incuestionable de accesos de datos irregulares si es necesario.

Continuando con mi analogía automovilística anterior, esto sería la cámara de velocidad. Si supiera que hay una cámara de velocidad activa en la porción de la carretera por la que está conduciendo y que registrará su matrícula si no cumple con el límite de velocidad, ¿realmente conduciría frente a ella a alta velocidad?

Esta opción de "registro" puede parecer atractiva, pero también podría significar que los departamentos de ciberseguridad podrían verse rápidamente abrumados por los registros para analizar en caso de organizaciones grandes o empresas que manejan información personal como parte de la mayoría de los procesos. De hecho, esto aumenta el riesgo de que se generen regularmente falsos positivos en grandes cantidades, y por lo tanto podría requerir mucha revisión manual.

Monitorear los registros para identificar anomalías y la magnitud de una violación

Esto nos lleva a nuestro 3er y último punto de la lista: monitoreo.

Utilizando todos los registros anteriores, pero también potencialmente registros de otras soluciones, los expertos en ciberseguridad podrían ejecutar automáticamente patrones de detección para identificar anomalías. Con la herramienta adecuada de monitoreo de actividad, encontrar la aguja en el pajar realmente se vuelve posible sin tener que quemar todo el pajar y revisar las cenizas con un imán.

Además, esto ayuda a los investigadores a identificar y detener a los perpetradores de manera oportuna y, si las acciones maliciosas ya se han llevado a cabo, también les ayuda a comprender el alcance de la violación de datos para notificar a las partes relevantes, incluidos los clientes afectados y los reguladores.

Por supuesto, esto puede incluir registros de acciones realizadas con un estado de superusuario temporal (también conocidos como IDs de FireFighter), ya que este es uno de los accesos más sensibles al otorgar la capacidad de cambiar información crítica directamente en un sistema productivo.

La mayoría de las empresas por supuesto rastrean estos accesos privilegiados, pero algunas no pueden obtener información precisa sobre lo que realmente se ha realizado, excepto en el informe realizado por el superusuario después del hecho