Seguridad: La amenaza interna

Las compañías y organismos se han enfocado en proteger sus sistemas y activos de información de intrusos y hackers. Todas las empresas y organizaciones han implementado medidas y herramientas de seguridad, como acceso por tokens, autenticación en 2 pasos, firewalls, detección de intrusión, anti-virus, anti-spyware, etc. Las cuales son muy efectivas para controlar accesos no autorizadas, sin embargo, existe una amenaza emergente a la seguridad que proviene del interior de la organización.

Las amenazas internas son más difíciles de detectar que las externas. Los individuos que cometen estos ataques están autorizados para acceder a la información sensible en la realización de su trabajo diario. Identificar un individuo que está realizando un mal uso de la información y operaciones a la que está autorizado a acceder es mucho más difícil y complejo que detectar o bloquear que el acceso de una persona externa no autorizada.

Las estadísticas muestran que, el típico empleado que comete fraude lleva muchos años en la organización, es un usuario autorizado, no está en una posición técnica, no tiene antecedentes de ser un empleado problemático y utilizando comandos en las aplicaciones corporativas de su uso diario comete el fraude, que va desde robo de información hasta su modificación, y todo esto lo realiza en horario laboral.

Proteger la información sensible contra la manipulación y acceso de empleados, directivos, contratistas y clientes se ha convertido en una importante preocupación en las organizaciones, entidades financieras y de seguros, oficinas gubernamentales, sanidad, telecomunicaciones en resumen en toda organización que gestione información sensible.

Cómo podemos registrar y detectar acciones que en un primer momento parecen comunes y son parte de las responsabilidades normales de los usuarios pero que pueden llevar segundas intenciones, por citar algunos ejemplos tenemos:

  • Que a un cliente se le cambie la dirección de contacto es una operativa normal, pero que en menos de 72 horas se le cambie 2 veces dicha dirección puede ser sospecho, se pudo enviar correspondencia postal sensible a una dirección inadecuada.
  • Múltiples intentos de autenticación fallidos desde un terminal que no es el habitual del usuario, lo que pudiera indicar un robo de credenciales.
  • Que un usuario de call-center realice búsquedas de clientes por nombre y apellido, en vez de usar los identificadores de cliente, a la vez que no se realice ninguna operación sobre el cliente, también levanta sospechas.
  • Que a varios clientes no relacionados se le asigne en mismo número telefónico móvil de contacto.
  • Un usuario avanzado aumenta sus privilegios en el sistema.
  • Y un largo etcétera.

Generalmente el monitoreo de estas actividades se realiza mediante el análisis de bitácoras de los aplicativos, ya sean archivos logs, base de datos, etc., pero esta aproximación puede presentar algunas deficiencias:

  • Solo se almacena las actividades de las operaciones de alta, baja o modificación. Las búsquedas y consultas de información están excluidas. ¿Cómo saber si se hicieron búsquedas de clientes por nombre en vez de por DNI o número de cliente? ¿Qué empleados visualizaron, sin modificar, los datos de un cliente o producto particular?
  • Se graba la información principal, algún valor secundario podría no grabarse. Con lo que al momento de una investigación no se tiene la información completa de forma eficaz. Se le modificó la dirección o teléfono a un cliente, en el log se tiene el nuevo valor, pero ¿cuál era el anterior?
  • Operaciones complejas que son canceladas o abandonadas a mitad del proceso y por lo tanto no quedan registradas.
  • Por supuesto se puede modificar/configurar los aplicativos para volcar algunas operaciones y/o valores aun no incluido, esto conlleva fases de análisis, desarrollo, pruebas y cambios en ambientes productivos. Ya los aplicativos son bastante complejos con su lógica de negocio, para adicionalmente, llevar factores de seguridad avanzados.
  • Algunos sistemas legados no permiten modificar o configurar una mejor traza de la ya existente o directamente no tienen.
  • El análisis de estas bitácoras no se realiza de forma inmediata, tardando muchas veces más de 24 horas en estar disponible, con lo que se pierde la oportunidad de toma de decisión adecuada.
  • Al solo volcarse en estos logs solo algunas operaciones, sólo se tienen los eventos aislados, se pierde el contexto de estas acciones.

Por lo que se requiere de herramientas de monitoreo que permitan, para la toma de datos:

  • No afecten el rendimiento de los aplicativos monitoreados.
  • No sea intrusivo, no requiera el uso de agentes ni en los equipos de los usuarios ni en los servidores.
  • No requiere realizar modificaciones en los aplicativos.
  • No depende de la existencia de logs.
  • Tener registro de todas las acciones que realiza el usuario en el aplicativo, tanto las que son interesantes hoy, como aquellas que no, ya que complementan investigaciones al dar contexto y en un futuro pueden ser importantes.

Complementándose con funciones de análisis como:

  • Análisis cercano al tiempo real. En pocos segundos se puede tener notificaciones de actividades sospechosas acontecidas.
  • Búsqueda y visualización de las actividades monitoreadas de forma fácil e inmediata, lo que maximiza las labores de investigación.
  • Configuración de reglas que automaticen la detección de comportamientos sospechosos y alerten de ellos de forma oportuna.
  • Facilitar el cumplimiento de regulaciones nacionales e internacionales.
  • Altamente personalizable, para adaptarse a cada necesidad particular.
  • Visión 360, poseer una consola centralizada con los diversos datos recolectados de los aplicativos core de forma unificada.  
  • Para ciertas operaciones, aquellas que sean muy sensibles, que sirva de autorización de esas operaciones antes de que se efectúen. Al tener todas las acciones capturadas, se puede hacer un análisis de riesgo.

Cyber Fraud & Risk Management con más de 15 años en el mercado ofrece éstas, entre otras, características que ayudan a los complejos y complicados retos de seguridad de hoy en día.

¿Quieres más información sobre esto?

Contáctanos, en SOAINT queremos ser tu partner tecnológico.

Si quieres recibir más información

Si estás interesado en saber más sobre Soaint y sus servicios déjanos tu correo electrónico y nos pondremos en contacto contigo a la mayor brevedad posible.

Artículos relacionados