EL ESTADO DE LA SEGURIDAD CIBERNÉTICA /Recursos /whitepaper... · Independientemente del modo en...

EL ESTADODE LA SEGURIDAD CIBERNÉTICA2017

Un nuevo paradigma de la seguridad: entender la intención y el comportamiento humanos para proteger a los empleados, los datos empresariales críticos y la propiedad intelectual.

El Estado de la Seguridad Cibernética 2017 | 2

ACERCA DE FORCEPOINT

Forcepoint está transformando la seguridad cibernética enfocándose en lo que es más importante: entender el comportamiento y la intención de las personas cuando interactúan con datos críticos y propiedad intelectual en cualquier lugar donde residan. Nuestros sólidos sistemas permiten a las empresas habilitar a sus empleados dando acceso libre a los datos confidenciales mientras se protege la propiedad intelectual y se simplifica el cumplimiento. Con sede en Austin, Texas, Forcepoint brinda respaldo a más de 20 000 organizaciones en todo el mundo. Para obtener más información sobre Forcepoint, visite www.Forcepoint.com y síganos enTwitter en @ForcepointSec.


Las empresas modernas que aspiran a mejorar la eficiencia frecuentemente aprovechan las ventajas de las nuevas tecnologías para reducir costos, atraer a trabajadores de la 'Generación de los millennials', mejorar la retención de empleados y aumentar la agilidad de la organización. Si bien esto es bueno para la empresa, presenta nuevos desafíos de seguridad. Los datos críticos están en todas partes, estratificados en nubes públicas o privadas, en medios extraíbles y en dispositivos móviles; mezclándose al azar con los datos personales en los dispositivos de los empleados.

La visibilidad ha introducido nuevos riesgos para la organización, y aún así, muchos profesionales de seguridad actualmente no pueden ver cómo ni dónde se utilizan los datos que se diseminan por aplicaciones propias de la compañía, aplicaciones de los empleados y aplicaciones hospedadas. Sin esta información, las vulnerabilidades basadas en las personas desestabilizan hasta a las redes más seguras y reducen en gran medida la eficacia de las inversiones en seguridad cibernética.

Independientemente del modo en que se origina un ataque, en última instancia infligirá el mayor daño en los puntos en los que las personas interactúan con los datos críticos empresariales y la propiedad intelectual. Estos puntos humanos de interacción tienen el potencial de debilitar aún a los sistemas diseñados de manera más integral en un solo acto malicioso o no intencional. Por esta razón, el enfoque de seguridad en el que ha confiado la industria durante muchos años, centrado en la protección de la infraestructura de tecnología, no dará resultado. Surgen nuevas tecnologías, se actualizan los productos y la visión general centrada en la infraestructura de TI, lo que parece un juego sin fin para tratar de ponerse al día. Al concentrarse en lo constante, las personas que interactúan con los datos críticos empresariales y la propiedad intelectual, los profesionales de seguridad podrán administrar mejor el riesgo que enfrentan sus organizaciones.

Resumen Ejecutivo


Para determinar la causa de los incidentes de seguridad (p. ej., robo de datos, pérdida de la propiedad intelectual) y evitarlos en el futuro, los profesionales de seguridad deben examinar la intención detrás de las acciones de las personas. Los empleados de una organización se dividen en tres grupos en un espectro al que llamamos continua intención, que categoriza a los usuarios como accidentales, comprometidos o maliciosos. Y es importante observar que las personas pueden entrar y salir de estas categorías en función de varios factores, de modo que también examinaremos los comportamientos típicos que definen estas categorías y abarcan todo el espectro de la continua intención.

Los profesionales de seguridad identifican la necesidad de observar el comportamiento humano y entender la intención cuando las personas (empleados, socios, usuarios con privilegios) interactúan con los datos, aunque reconocen las deficiencias presentes en la industria para poder lograrlo. Únicamente a través de un enfoque de seguridad centrado en las personas podremos entender, administrar y mitigar mejor el riesgo que enfrenta una organización.

La industria necesita sistemas inteligentes e integrados que proporcionen visibilidad del comportamiento de los usuarios y descubran la intención al facilitar el contexto detrás de las acciones de los usuarios. Cuando estos sistemas de soluciones integradas se combinan con programas de seguridad cibernética integrales, pueden proteger la fuerza de trabajo móvil, reducir la carga de administración de incidentes de TI, aumentar el valor de las nuevas inversiones en seguridad y brindar una seguridad proactiva que promueva la innovación dentro de la organización.

LA SEGURIDAD CIBERNÉTICA DEBE CAMBIAR DE LA PROTECCIÓN DE LA TECNOLOGÍA A LA COMPRENSIÓN DE LA INTENCIÓN Y EL COMPORTAMIENTO HUMANOS


Durante toda la historia de la seguridad cibernética, la industria se ha concentrado detenidamente en las amenazas que surgen de los ámbitos y la infraestructura de la tecnología en evolución. Hace algunos años, cuando las computadoras de escritorio permanecían en la mayoría de las oficinas, los empleadores posiblemente no tenían el control absoluto del uso que hacían sus trabajadores de la tecnología y los datos, pero podían contenerlo (en su mayor parte). Los departamentos de TI determinaban qué computadoras y programas de software adquirir y provisionar, después creaban pautas sobre lo que constituía un “uso apropiado” de dicha tecnología. Cuando los empleados terminaban su día de trabajo, apagaban sus computadoras, se iban a sus hogares y estaban fuera de línea hasta la mañana siguiente.

Actualmente, el concepto de la red ha cambiado radicalmente; se han extendido los límites y ahora incluyen desde aplicaciones sociales de consumidores hasta infraestructura hospedada en la nube y dispositivos personales de los empleados. Los empleados tienen un apetito insaciable de nuevos dispositivos, aplicaciones, redes sociales y de contenido, así como preferencias individuales por sus entornos de trabajo.

Aumento de la cantidad de empleados remotos

El tema de cómo, cuándo y dónde trabajan las personas está obligando a las organizaciones a cambiar sus estilos de administración para optimizar el rendimiento en un momento en que solo el 33% de los trabajadores estadounidenses se sienten comprometidos con sus roles. Según el informe State of the American Workplace (Situación actual del lugar de trabajo estadounidense) de Gallup, la cantidad de empleados que trabajan de manera remota aumentó un 4% entre 2012 y 2016 (de 39% a 43%) y estos empleados pasan más tiempo trabajando.1

Las organizaciones están concentrando su atención en la manera de atraer, comprometer y retener a los empleados, y por una buena razón. Según Gallup, el menor compromiso de los empleados y el desplazamiento al lugar de trabajo les cuesta a las compañías estadounidenses $550 mil millones y $90 mil millones en pérdidas de productividad, respectivamente. Los empleados remotos (que trabajan al menos dos días a la semana desde su hogar) reportan menos niveles de estrés, aumento de la moral, mejor productividad y una mayor sensación de valor

Facilitación en la empresa moderna


general en comparación con los empleados que trabajan en oficinas. Las compañías también se benefician al permitir que los empleados trabajen de manera remota: Esto reduce la rotación de empleados, disminuyen los costos operativos y de bienes raíces, además de más contrataciones de personal altamente calificado. Una encuesta reciente mostró que el 58% de los profesionales de recursos humanos mencionan la flexibilidad como la manera más efectiva de atraer talento nuevo.2

Políticas Organizacionales BYOD indulgentes

El concepto "Trae tu propio dispositivo" (BYOD, por sus siglas en inglés), es actualmente un elemento básico en toda empresa. Una organización promedio posee aproximadamente 23,000 dispositivos móviles en uso por parte de los empleados (incluidos dispositivos móviles personales).3 Gracias a la nube, la sincronización uniforme, los teléfonos inteligentes, las tabletas y las computadoras portátiles livianas, los trabajadores a menudo deciden, abiertamente o en forma encubierta, qué dispositivos usar, cuándo y dónde los utilizarán. Mientras que el 89% de los dispositivos móviles de los empleados se conectan a redes corporativas, solamente el 65% de las compañías tienen políticas que les permiten hacerlo.4

Si bien, las políticas BYOD han ayudado a las compañías a recortar costos de hardware y servicios, también crearon una carga adicional a los departamentos de TI que están a cargo de mantener estos dispositivos. Un estudio mostró que el 75% de las compañías ya permiten que los empleados lleven sus propios dispositivos o tienen planes de integrar una política propicia para BYOD en el futuro cercano, debido a la disponibilidad de los empleados antes mencionada y a los beneficios resultantes para la productividad.5

Mayor uso de aplicaciones en la nube

Una organización promedio utiliza aproximadamente 13 aplicaciones en la nube y el 15% de las empresas utilizan Office 365 y Google Apps, según el informe sobre administración de identidad y acceso Business @ Work de la nueva compañía Okta.6 Las aplicaciones y los servicios en la nube brindan beneficios tangibles al permitirles a las organizaciones reducir los gastos de capital y asignar recursos de manera flexible para informática, procesamiento y colaboración. Los usuarios consideran un beneficio para la productividad el acceso a los servicios en cualquier momento y en cualquier lugar, mientras que las organizaciones consideran que las economías de escala en la nube redundan en menores costos operativos y en la capacidad para enfocarse en la misión principal del negocio.

Muchas organizaciones han adoptado servicios en la nube pública que contemplan áreas de SaaS de rápido crecimiento, como paquetes de Office, creación de contenido digital e inteligencia empresarial. Según Gartner, los servicios en la nube pública en todo el mundo aumentarán a $246.8 mil millones en 2017 en comparación a $209.2 millones en 2016.7


Las compañías almacenan datos utilizando servicios en la nube pública y privada, permiten que sus empleados trabajen desde cualquier lugar en el mundo y subcontratan partes de sus negocios para dirigir su enfoque a cuestiones esenciales. Aun así, la gran mayoría está lejos de tener una visión holística e integral de las actividades de los usuarios que podrían apuntar a un riesgo inmediato. La situación es lo suficientemente grave como para que un tercio de las empresas haya sufrido una filtración causada por un empleado, con posibles pérdidas de más de $5 millones de dólares por cada incidente, según SANS Institute.8 Los investigadores de SANS también descubrieron que casi tres cuartos (74%) de estas organizaciones están preocupadas por empleados negligentes o maliciosos que podrían constituir una amenaza interna.

En 2017 realizamos un estudio con 1,252 profesionales de seguridad cibernética en todo el mundo para visualizar los problemas comunes en las áreas y entender mejor el estado de la seguridad cibernética; y más importante, determinar el modo en que las organizaciones podrían visualizar una estrategia enfocada en el futuro que vaya más allá del estado actual de solo buscar reparación de infraestructura. El informe resultante, The Human Point: An Intersection of Behaviors, Intent & Critical Business Data (El punto humano: la intersección entre comportamientos, intención y datos críticos empresariales), reveló las siguientes tendencias:

` Falta de visibilidad: A los profesionales de seguridad cibernética les resulta difícil mantener la visibilidad en la manera en que los empleados utilizan los datos críticos empresariales en los dispositivos de la compañía, dispositivos personales y servicios aprobados por la compañía. (Vea la Figura 1).

` Combinación de aplicaciones sociales y empresariales en el concepto BYOD: El cambio a BYOD presenta una paradoja: las políticas de dispositivos finales administrados pueden permitirles a los usuarios tener acceso a, modificar y almacenar datos en sus dispositivos; mientras que los dispositivos no administrados requieren una política más restrictiva que prevenga la pérdida de datos corporativos esenciales. La fuga y la exposición potenciales de datos aumentan a medida que las organizaciones permiten el acceso a datos empresariales esenciales, ya sea a través de BYOD o de políticas corporativas. (Vea la Figura 2).

Una mirada al riesgo Basado en las personas


Figura 2: Preocupación por la mezcla de datos personales y empresariales en los dispositivos

Figura 1: Visibilidad de los datos empresariales esenciales en dispositivos y servicios que son propiedad de la compañía/los empleados

VISIBILIDADEXCELENTE

MUY BUENAVISIBILIDAD

VISIBILIDADMODERADA

ESCASAVISIBILIDAD

SINVISIBILIDAD

EXTREMADAMENTE PREOCUPADO

MUY PREOCUPADO

BASTANTE PREOCUPADO

LEVEMENTE PREOCUPADO

PARA NADA PREOCUPADO


` Limitaciones del Big Data: Las herramientas de big data están siendo utilizadas por TI para encontrar tendencias de seguridad y darle sentido a los cientos de miles de incidentes de seguridad diarios; aun así, las estadísticas muestran que esto no es particularmente eficaz para ayudar a las organizaciones a fortalecer su postura de seguridad cibernética.

` Comprensión del comportamiento y la intención: Aprender cómo los usuarios interactúan con los datos críticos es una prioridad creciente. Si bien, se concuerda en que la comprensión del comportamiento y la intención son vitales para la seguridad cibernética, la mayoría de los profesionales de seguridad no pueden hacerlo de manera efectiva. (Vea las Figuras 3 y 4).

MIENTRAS QUE EL

27 %DE LOS ENCUESTADOS INFORMÓ UTILIZAR UN MÉTODO DE

PARA AYUDAR EN LA GESTIÓN DE LA SEGURIDAD,BIG DATA

LA MAYORÍASOLO APENAS SUS TAREASINDICÓ QUE ESO MEJORÓ


Figura 3: Capacidad para entender el comportamiento humano

EXTREMADAMENTEEFECTIVO

MUYEFECTIVO

MODERADAMENTEEFECTIVO

LEVEMENTEEFECTIVO

NOEFECTIVO

Figura 4: Capacidad para entender la intención

EXTREMADAMENTEEFECTIVO

MUYEFECTIVO

MODERADAMENTEEFECTIVO

LEVEMENTEEFECTIVO

NOEFECTIVO


UN TERCIO DE LAS EMPRESAS HAN SUFRIDO UNA FILTRACIÓN CAUSADA POR UN EMPLEADO


Según las estimaciones de Gartner, se espera que el gasto mundial en seguridad de la información alcance los $90 mil millones en 2017, un aumento del 7.6% con respecto a 2016, y que llegue a $113 mil millones en 2020.9 Un mayor gasto en seguridad teóricamente debería derivar en menos incidentes, pero las compañías y las agencias gubernamentales de EE. UU. sufrieron un récord de 1,093 filtraciones de datos en 2016, un aumento alarmante del 40% con respecto a 2015.10 A pesar de las nuevas inversiones en seguridad cibernética, las filtraciones graves continúan en aumento, lo que prueba que esta cacería sin fin de nueva tecnología de seguridad carece de eficacia legítima.

Herramientas de seguridad tradicionales

Ante cada nuevo hardware o aplicación propia u hospedada, los profesionales cibernéticos tienen la tarea de encontrar las últimas herramientas para asegurar estos sistemas. La mayoría de los controles de seguridad tradicionales no estaban diseñados para ayudar a las organizaciones a tener visibilidad, observar el comportamiento de los usuarios cuando manipulan datos esenciales o suministrar el contexto detrás de estos comportamientos para evaluar verdaderamente el riesgo del usuario.

Si bien es posible aprovechar la infraestructura de seguridad existente en combinación con diversas herramientas para ayudar a las empresas a mitigar este problema, esto no brinda la visibilidad o el control suficientes para formar una solución integral.

Las ciencias sociales nos ayudan a abrir las puertas a una nueva comprensión del modo en que los usuarios y los delincuentes cibernéticos operan en la intersección del comportamiento con los datos. Douglas Maughan, director de investigación en seguridad cibernética del Departamento de Seguridad Nacional (Department of Homeland Security, DHS) de EE. UU., comentó a la revista Nature en 2016: “Muchos científicos informáticos han examinado la seguridad cibernética, pero no los suficientes sicólogos, economistas y personas que tengan en cuenta el factor humano”. En los últimos cinco años, el DHS y otras organizaciones de EE. UU. y el Reino Unido han impulsado el financiamiento de investigaciones sobre el “lado humano de la seguridad cibernética”.11

La tecnología sola no es suficiente


Las amenazas evolucionan y las tecnologías van y vienen, pero las personas son una constante en la seguridad cibernética. Independientemente del modo en que se origine un ataque, en última instancia infligirá el mayor daño en los puntos en los que las personas interactúan con los datos críticos empresariales y la propiedad intelectual.

Las personas que se ubican en el centro de las filtraciones de datos actuales más perjudiciales pueden incluir empleados actuales o exempleados, miembros del consejo directivo o cualquiera que alguna vez haya tenido acceso a la información confidencial o de propiedad exclusiva de una organización, que incluyen:

` Contratistas ` Socios de negocio ` Terceros ` Personas que tienen conocimiento sobre las prácticas de seguridad de una organización,

la información confidencial, del acceso a redes o bases de datos protegidas.

El daño provocado por el punto humano puede tomar cualquiera de las siguientes formas:

` Daño físico ` Robo de información ` Robo monetario ` Robo de identidad ` Corrupción o eliminación de datos ` Alteración de datos con la intención de producir inconvenientes o evidencia criminal falsa

El factor humano


El punto de interacción entre las personas y los datos, donde la tecnología habilita más y la seguridad es más vulnerable, puede debilitar los sistemas diseñados de manera más integral en un solo acto malicioso o no intencional. A los profesionales de TI puede resultarles difícil descifrar si el usuario está cometiendo un error, ha sido atacado o está provocando daño de manera intencional. Según el Institute for Critical Infrastructure Technology, en 2015 solamente el 17% de los profesionales de seguridad estaban en conocimiento de una amenaza interna en su red, aunque la actividad anómala sugería que las amenazas internas ocurrían en el 85% de las organizaciones.

La continua intención cibernética explica esto agrupando a los empleados involucrados en ataques en tres categorías: accidental, comprometido y malicioso. Los aspectos que típicamente influyen en la intención de los usuarios al manipular datos confidenciales incluyendo el ámbito laboral, la capacidad para manejar el estrés y la situación financiera. Y debido a que las personas pueden entrar y salir de estas categorías en cualquier momento, es fácil ver cómo los siguientes comportamientos pueden describir a la misma persona según sus acciones en un día determinado.

Otros factores que influyen en la intención del usuario:

` Satisfacción con la compañía ` Fatiga ` Concientización sobre la seguridad ` Características de la personalidad ` Atención al detalle ` Nivel de confianza ` Antigüedad en la compañía ` Conocimiento de las mejores prácticas de seguridad

La continua intención cibernética


Comprensión de las amenazas internas

Los empleados involucrados de manera accidental son personas que cometen errores no intencionados, quizás por falta de capacitación, de conocimiento o de existencia de procesos y sistemas apropiados, o por conductas negligentes. También pueden a sabiendas evadir las reglas en favor de la productividad y, al hacerlo, exponen inadvertidamente a la organización al robo de datos. Los tipos de empleados involucrados de manera accidental en un ataque incluyen:

Los actores involuntarios, son víctimas de políticas mal comunicadas o simplemente no tienen conocimiento. Pueden cometer errores honestos porque no conocen las reglas; estos actores presionarán el botón incorrecto o enviarán un documento a la persona equivocada. Estas personas también podrían tener altos niveles de estrés, lo que provoca desgaste y falta de esmero en el protocolo de la organización. Incapaces de revitalizar sus cerebros de forma adecuada, es menos probable que estos usuarios implementen mejores prácticas de seguridad. La mayoría de las veces, su comportamiento es negligente o descuidado. También pueden ser los sabelotodos de la compañía que responden a un pedido cuando alguien más calificado debería hacerlo, o publican en las redes sociales resultados trimestrales no anunciados. Si estos actores involuntarios se vuelven maliciosos, pueden robar o manipular intencionadamente información confidencial por diversión, curiosidad o para demostrar que pueden hacerlo.

Los empleados que buscan la conveniencia rompen procesos empresariales pero no siempre de manera maliciosa. Colocan datos donde no deberían estar, y no donde deberían. Estos tipos de empleados involucrados de manera accidental están convencidos de que tienen el derecho a ciertos tipos de datos, o sacan la conclusión que son los “dueños” de los datos, que incluyen listas de clientes, códigos fuente, investigación científica, y documentación y plantillas de procesos. Podrían ignorar el proceso o la política. Son los usuarios que tienen acceso con privilegios y no creen que alguna de las historias intimidantes podría sucederles a ellos. Por ejemplo, aprovechan sus credenciales de superusuario para su conveniencia y, al hacerlo, infectan con malware a un servidor indispensable después de abrir un mensaje de correo electrónico con phishing altamente personalizado. Esta actitud puede aplicarse a los usuarios en cualquier nivel de la compañía: auditores, ejecutivos, desarrolladores y otros empleados con privilegios.

EMPLEADO INVOLUCRADO DE MANERA ACCIDENTAL


EMPLEADO COMPROMETIDO

Los empleados comprometidos son los usuarios con acceso a la red cuyas credenciales han sido robadas y utilizadas por un atacante para ingresar al sistema y utilizarlo de manera indebida. Las alertas de perfil no brindan una prueba definitiva de que un usuario ha resultado comprometido, de manera que los equipos de seguridad con frecuencia no notan la existencia de una amenaza hasta que es demasiado tarde.12 Estos son algunos ejemplos de empleados comprometidos:

Las víctimas de malware han sido atacadas e infectadas con phishing de correo electrónico o ransomware que genera una filtración en la red o contamina un dispositivo. Estos ataques generalmente provienen del exterior de la organización y utilizan una forma de ingeniería social para inducir al usuario comprometido a tener un comportamiento riesgoso que abre la puerta para que un atacante tenga acceso a la red de la empresa. Por ejemplo, los investigadores de Forcepoint Security Labs recientemente descubrieron que el grupo de hackers llamado Carbanak (también conocido como Anunak), que robó mil millones de dólares de bancos en 2015, ahora está intentando utilizar documentos de oficina hospedados en servicios de Google para diseminar malware. Las personas que abren estos documentos que constituyen un arma en potencia le permiten a Carbanak ejecutar una secuencia de comandos para tomar el control de la máquina.13 A pesar de la difusión en los medios de muchos ejemplos de ataques de phishing, el 30% de los usuarios aún abre mensajes de correo electrónico con phishing y el 12% hace clic en un enlace o adjunto malicioso y, al hacerlo, habilita involuntariamente el acceso al hacker.14

Los usuarios con identidad usurpada han sufrido el robo de sus credenciales o han sido engañados por un atacante externo. Estos usuarios pueden no tener la intención de hacer daño, pero han sido manipulados mediante ingeniería social para abrir una puerta segura o hacer clic en el archivo incorrecto, o no han mantenido actualizada la higiene cibernética de sus dispositivos, que incluye hacer copias de respaldo y tener contraseñas seguras. Las contraseñas que caen en manos indebidas son una de las principales causas de vulnerabilidad en la red: el 63% de las filtraciones de datos conocidas involucran contraseñas inseguras o robadas.15 Una vez que los atacantes usurpan identidades, es virtualmente imposible detectar a los usuarios comprometidos, ya que tienen la misma apariencia y actúan de manera similar a muchos otros usuarios en la red. La octava descarga de información confidencial más grande de la historia ocurrió en 2014; los hackers contaron con la ayuda de empleados que literalmente abrieron la puerta de la oficina para permitirles el acceso al edificio.


Los empleados maliciosos tienen conocimiento y acceso a los recursos de la organización. A estos usuarios generalmente les resulta más fácil realizar ataques perjudiciales debido a la cantidad de tiempo que pasan en la red. El descontento interno debido a diferencias con colegas, jefes o la organización misma se manifiesta de manera destructiva. Los empleados maliciosos típicamente se dividen en dos categorías:

Los empleados deshonestos son los usuarios que tienen un resentimiento contra su empleador. Pueden haber sido empleados modelo durante muchos años pero situaciones o actividades recientes los han llevado a tener un comportamiento inadecuado. En muchos casos, los empleados deshonestos pueden haber recibido una revisión de desempeño con malas calificaciones o saben que van a ser transferidos contra su voluntad, despedidos, bajados de categoría o amonestados. Tanto el FBI como el DHS creen que estos empleados disconformes presentan una importante amenaza cibernética debido al acceso que tienen a las redes y a la información esencial. Al salir, estos empleados utilizan su acceso para copiar, borrar o corromper datos, robar propiedad intelectual, obtener información confidencial de clientes o comprar cosas sin autorización. En muchos casos, después de irse, utilizan sitios de archivos de terceros en la nube y cuentas de correo electrónico personales o siguen teniendo acceso a la red.16 Es necesario implementar medidas para detectar este tipo de filtración de datos. Sin embargo, estos empleados están motivados y bien informados. En algunos casos, los empleados deshonestos están influenciados por partes externas y se comprometen de manera intencional a robar información.

Los empleados delincuentes son personas que realizan espionaje corporativo o actúan como agentes para sindicatos del crimen organizado nacionales o extranjeros. Han utilizado su condición de empleados para tener acceso a la red poniendo el peligro a otros usuarios o encontrando una "puerta trasera". Están motivados, bien informados y ahora dominan

todo el acceso y los privilegios para violar la ley y robar la propiedad intelectual y los datos de una organización. Estos empleados con acceso e intención criminal se consideran igualmente peligrosos, si no más, que los atacantes externos. Los empleados que sienten que merecen un pago mejor pueden exfiltrar o robar información confidencial de su compañía para venderla en los mercados de la red oscura como Alphabay. También podrían ofrecer la dirección y los números de seguro social del CEO o el CFO al mejor postor o a la prensa amarilla para obtener una ganancia monetaria.

EMPLEADO MALICIOSO


EL PUNTO DE INTERACCIÓN ENTRE LAS PERSONAS Y LOS DATOS ES DONDE LA TECNOLOGÍA FACILITA MÁS Y LA SEGURIDAD ES MÁS VULNERABLE


La industria coincide en que el perímetro no existe más, el desafío actual es controlar los datos que entran y salen de la organización mientras los empleados buscan usarlos a demanda, en cualquier parte.

En lugar de gastar $113 mil millones en tecnología destinada a proteger un perímetro que se ha desmoronado, debemos observar a las personas y estar protegidos contra los comportamientos que sabemos que conducen a la pérdida de datos esenciales y propiedad intelectual. Un programa de seguridad cibernética que pueda lograr un progreso sustentable será posible únicamente mediante una combinación de tecnologías, políticas, cambios culturales y sistemas inteligentes. Estos sistemas deben ser capaces de observar el comportamiento y descifrar la intención para proteger de manera proactiva a los usuarios, los datos esenciales y, más importante, el punto de intersección entre ellos. Estos sistemas incluyen productos que se pueden integrar fácilmente para proporcionar una visión integral del comportamiento riesgoso y mitigar los riesgos muchos pasos antes de que se conviertan en filtraciones de datos.

Esta visión centrada en las personas impulsa la estrategia de Forcepoint de crear soluciones y programas de seguridad que detengan los malos comportamientos cibernéticos y ayuden a las organizaciones a operar de manera más eficiente. Liderados por la opinión de nuestros socios y clientes, estamos desarrollando un proyecto de personas, procesos y sistemas de seguridad que les permita a las empresas entender mejor el comportamiento de los usuarios y la intención que los motiva, para proteger los datos esenciales y la propiedad intelectual en todas partes. Esta estrategia se alinea con nuestras cuatro áreas de enfoque, que incluyen:

` Seguridad en la nube y CASB: Proteger a las personas de los ataques cuando utilizan la web y el correo electrónico desde cualquier ubicación, en cualquier dispositivo.

` Seguridad de redes: Otorgar visibilidad de las acciones de las personas en toda la red y mantener a los atacantes alejados de los centros de datos, las oficinas y los entornos en la nube.

Protección de usuarios con sistemas inteligentes

SEGURIDAD EN LA NUBE

Y CASB


` Seguridad de datos y seguridad contra amenazas internas: Identificar a los usuarios de alto riesgo y los comportamientos de datos que requieren una investigación adicional y la implementación de controles apropiados de protección de datos.

` Soluciones de dominios cruzados: Permitir que las personas tengan acceso y transfieran información confidencial de manera segura en múltiples redes diferentes con control, facilidad y eficiencia.

La ejecución de una estrategia basada en la protección centrada en las personas es claramente un proceso más que un punto en el tiempo, a medida que el mercado comienza a adoptar enfoques preventivos centrados menos en el perímetro y más en proteger los datos a través de todo el ciclo de vida de creación, uso, difusión y eliminación. Cada una de nuestras áreas de enfoque representa una oportunidad para reunir contexto en torno a esos puntos de contacto, y potencial exposición, que un atacante puede aprovechar.

SEGURIDAD EN LA NUBE

Y CASB SEGURIDAD DE REDES

SEGURIDAD DE DATOS

Y SEGURIDAD CONTRA

AMENAZAS INTERNAS

SOLUCIONESDE DOMINIOS

CRUZADOS


El enfoque en las personas y el conocimiento de los datos también respalda nuestra filosofía en relación con las soluciones de seguridad en la nube y CASB. Como muchos ataques comienzan a través del spearphishing y la web, hemos intentado detectar y prevenir cuando una amenaza está afectando los datos más valiosos de la compañía. A medida que avancemos, estos sistemas se integrarán cada vez más con nuestras soluciones de protección de datos y eliminarán los límites artificiales que crean las categorías de productos tradicionales. Del mismo modo, a medida que los dispositivos móviles continúen mezclando los datos personales con los negocios, veremos una extensión de la protección de los datos propios de una compañía en cualquier dispositivo. Este concepto de “ir donde van los datos” sintetizará las políticas para que sean consistentes independientemente del medio.

Mientras que muchos productos de firewall a menudo se concentran enteramente en las redes, y por consiguiente en las máquinas, la seguridad de redes con Forcepoint NGFW va más allá de eso. Ofrecemos la mejor protección de su clase en el nivel de la red y el nivel humano mediante la comprensión de la aplicación que está enviando un flujo de datos particular. Esto, sumado a nuestras capacidad para categorizar sitios web por contenido, les permite a los administradores controlar el flujo según la aplicación (y, por lo tanto, según la tarea). Esta funcionalidad es solo el comienzo de nuestra permanente integración destinada a agrupar contexto y visibilidad a través de la lente de la amenaza interna.

Nuestros productos de seguridad de datos y seguridad contra amenazas internas combinan el comportamiento del usuario y el análisis con nuestro profundo conocimiento del contenido de los archivos; esto es, los tipos de datos que son más valiosos para cada cliente particular. Esto nos permite no solo proporcionar un marco para el cumplimiento de normativas a través de la aplicación de políticas de uso de datos (evitando de este modo el uso no autorizado de los datos), sino también proteger los datos utilizados de forma maliciosa por un adversario que ha usurpado credenciales. Aquí no debe subestimarse el valor del análisis forense altamente contextual; por ejemplo, al permitir que un analista (y potencialmente un tribunal) vea la pantalla de un atacante durante un incidente, las violaciones se convierten en un arco narrativo que puede ayudar al observador a diferenciar entre el descuido, el compromiso y la malicia; y no solo una línea en un archivo de registro.


Completando la cartera de productos están las soluciones de dominios cruzados que permiten el uso eficiente y seguro de redes físicamente segmentadas diseñadas para el almacenamiento y el mantenimiento de información en centros de datos en lugar de en dispositivos locales. Estas soluciones brindan un alto grado de usabilidad sin comprometer la seguridad para trabajar con y para el usuario: no solo permiten el acceso seguro y controlado a datos esenciales alojados en múltiples redes, sino también monitorean el flujo de datos entre las máquinas y los usuarios de manera que los datos lleguen al destinatario correcto en el momento correcto, eliminando así la necesidad de descargas manuales y transferencia de información electrónica por medios extraíbles (sneaker-net). Las soluciones de dominios cruzados establecen un requisito para comportamientos de seguridad correctos y también ayudan a los administradores con la auditoría robusta.

Estas tecnologías trabajan juntas para brindar a los gerentes la percepción contextual que necesitan para tomar mejores decisiones. Ninguna funciona sola; únicamente cuando las soluciones están integradas verdaderamente pueden adentrarse en la gran diversidad de interacciones humanas que afectan la seguridad para proteger los datos esenciales. De este modo, nuestra visión a largo plazo es ayudar a los administradores e investigadores a pasar de responder la pregunta “¿qué evento sucedió?” a la pregunta más minuciosa “¿por qué sucedió esto?”. Este cambio será un proceso que tendrá el potencial de reescribir radicalmente las restricciones potenciales de protección en una sola estructura, donde la inteligencia obtenida en un dominio proporcione información en otro.

Si bien esta sección ha destacado la tecnología, sería irónico si no acentuáramos el rol esencial que desempeñan Recursos Humanos y las relaciones entre los empleados no solo en la administración del riesgo de amenazas internas sino también en la mitigación proactiva de este riesgo. Una minoría de atacantes ingresarán deliberadamente en una organización con la intención de convertirse en empleados maliciosos; como hemos destacado, la mayoría de los empleados maliciosos integran la categoría de actores deshonestos o delincuentes debido a presiones internas o externas e insatisfacción con su trabajo. Los procesos de Recursos Humanos modernos y proactivos deben desempeñar un rol desde el punto de vista de la detección y la prevención. Sin embargo, el truco está en respaldar a Recursos Humanos a través del uso inteligente de análisis y programas de amenazas internas maduros; y viceversa. La tecnología no es el final de la historia, pero es el motor que le da vida.


Conclusión

Entender el factor humano es un paradigma de seguridad completamente nuevo. Un enfoque arraigado en proteger la tecnología ha resultado ineficaz para minimizar las amenazas; de hecho, las amenazas están aumentando. Ha llegado el momento de pensar diferente en relación con la seguridad cibernética para prevenir con eficacia los riesgos de los datos esenciales y la propiedad intelectual. Solamente comprendiendo la intención detrás de las acciones de un usuario podremos reconocer la diferencia entre el comportamiento cibernético bueno y malo. Y el objetivo de Forcepoint no es simplemente reconocer esa diferencia, sino proporcionar sistemas inteligentes que permitan el buen comportamiento de los empleados y detengan el mal comportamiento cibernético.

HA LLEGADO EL MOMENTO DE PENSAR DIFERENTE EN RELACIÓN CON LA SEGURIDAD CIBERNÉTICA


1 http://www.gallup.com/reports/199961/state-american-workplace-report-2017.aspx

2 http://www.shrm.org/Research/SurveyFindings/Articles/Pages/Challengesinnext10Yrs.aspx

3 http://www.ponemon.org/local/upload/file/AT%26T%20Mobility%20Report%20FINAL%202.pdf

4 https://www.insight.com/en_US/learn/content/2017/01-16-2017-workplace-mobility-statistics-show-improved-productivity.html

5 http://www.techproresearch.com/downloads/wearables-byod-and-iot-current-and-future-plans-in-the-enterprise/

6 https://www.okta.com/Businesses-At-Work/2016-03/

7 http://www.gartner.com/newsroom/id/3616417

8 https://www.sans.org/reading-room/whitepapers/analyst/insider-threats-fast-directed-response-37447

9 http://www.gartner.com/newsroom/id/3638017

10 https://www.bloomberg.com/news/articles/2017-01-19/data-breaches-hit-record-in-2016-as-dnc-wendy-s-co-hacked

11 http://www.nature.com/news/how-to-hack-the-hackers-the-human-side-of-cybercrime-1.19872

12 http://assured-cloud-computing.illinois.edu/files/2014/03/Identifying-Compromised-Users-in-Shared-Computing-Infrastructures-a-Data-Driven-Bayesian-Network-Approach.pdf

13 https://blogs.forcepoint.com/security-labs/carbanak-group-uses-google-malware-command-and-control

14 Informe sobre investigaciones de fugas de datos 2016 de Verizon

15 Ibidem

16 https://www.ic3.gov/media/2014/140923.aspx FBI Internet Crime Compliant Center Advisory: Increase in Insider Threat Cases Highlight Significant Risks to Business Networks and Proprietary Information (El aumento de casos de amenazas internas resalta los riegos importantes de las redes empresariales y la información de propiedad exclusiva), 23 de septiembre de 2014

Fuentes

© 2017 Forcepoint. Forcepoint y el logotipo de FORCEPOINT son marcas comerciales de Forcepoint. Raytheon es una marca registrada de Raytheon Company. Todas las demás marcas comerciales utilizadas en este documento son propiedad de sus respectivos dueños. [whitepaper_2017_state_of_cybersecurity_enus] 200055.062217

Oficinas corporativas Forcepoint10900-A Stonelake Blvd., Quarry Oaks 1, Ste. 350, Austin, TX 78759, EE. UU.

Tel: 1-800-723-1166 o 1-858-320-8000

www.forcepoint.com

EL ESTADO DE LA SEGURIDAD CIBERNÉTICA /Recursos /whitepaper... · Independientemente del modo en...

Documents

Transcript of EL ESTADO DE LA SEGURIDAD CIBERNÉTICA /Recursos /whitepaper... · Independientemente del modo en...