CIO
El Informe anual de amenazas internas ofrece una buena instantánea de cómo los ejecutivos y especialistas en TI de grandes y pequeñas empresas están tratando de proteger sus datos más valiosos. Con una mayor conciencia de que los ataques internos (tanto maliciosos como inadvertidos) son la mayor amenaza de una organización, las empresas gastan cada vez más para protegerse.
¿Pero están gastando sabiamente? El último informe sugiere que no. Mientras que el 90% de las organizaciones dicen que se sienten expuestas a amenazas internas y el 49% planea aumentar sus presupuestos para seguridad el año próximo, casi la mitad de los encuestados (48%) cree que sus soluciones son solo efectivas para detener las amenazas y el 13% dice que no funciona.
¿Qué tipos de sistemas de prevención están comprando? Según una encuesta reciente de ejecutivos de seguridad cibernética encargada por el grupo LinkedIn, Cybersecurity Insiders, las empresas están implementando sistemas como gestión de registros (62%), prevención de pérdida de datos o DLP (60%), identificación y gestión de acceso (IAM) (56 %), e información de seguridad y gestión de eventos (51%). Pero solo el 39% realiza un seguimiento de sus empleados mediante análisis de comportamiento del usuario (UBA).
Centrarse en los datos y los dispositivos a los que se puede acceder es esencial. Las soluciones como DLP y Endpoint Protection son elementos indispensables para una defensa sólida. Lo que se ignora con demasiada frecuencia falta, y lo que IAM y logs solo tocan, es centrarse en el usuario. Sin poder detectar patrones de comportamiento del usuario, tanto legítimos como ilegítimos, un sistema de seguridad es incompleto. “Para identificar y prevenir los ataques internos, debes tener las tres patas del taburete trabajando juntas”, dice Mike Tierney, director ejecutivo de Veriato, una compañía que proporciona monitoreo de actividad de los empleados y software de análisis del comportamiento. “Se busca que todas las soluciones compartan inteligencia e interactúen entre sí”.
¿Por qué? Puede etiquetar y clasificar datos confidenciales. Puede encriptar las computadoras portátiles, tablets y dispositivos móviles correctos. Pero supongamos que un usuario autorizado con acceso válido a los datos hace algo inusual. ¿Cómo puedes saber si se hace inadvertidamente o deliberadamente? ¿Hay alguna explicación razonable para ese incidente o es algo malintencionado? No hay forma de saber con solo DLP y seguridad deusuario final. También necesita un patrón de comportamiento inicial para contextualizar este incidente en particular.
Información relacionada:¿Cuál es el secreto para alinear la seguridad y la estrategia digital?
Considere cada solución por separado.
1. DLP
DLP reconoce y clasifica información confidencial. Los datos pueden estructurarse en campos como hojas de cálculo o no estructurados, como documentos de texto, archivos pdf y videos. Estos pueden clasificarse a través de la inspección de contenido (que reconoce un número de seguridad social de nueve dígitos o una tarjeta de crédito de 16 dígitos, por ejemplo); identificación de información clasificada, o mediante análisis contextual que examina el origen de los datos confidenciales, así como qué usuarios tienen acceso legítimo. Algunos sistemas DLP son lo suficientemente flexibles como para evitar la filtración de información sin interferir con el uso legítimo o el proceso comercial.
Tener una solución DLP es crucial para las organizaciones. Los sistemas DLP pueden ayudar a clasificar qué datos son sensibles y deben protegerse. La solución adecuada también puede ayudar a reducir el estrés y el caos asociados con las violaciones al garantizar que no se puedan eliminar los datos críticos, por amenazas internas o externas. Un sistema DLP robusto funciona de forma rápida y precisa, con una baja tasa de falsos positivos. “No todo lo que se elimina de una organización se hace maliciosamente”. La clasificación de datos puede ayudar a que tanto el contenido como el conocimiento del contexto reciban datos y determinen cómo se deben manejar cada archivo “, explica Dave Karp, director de productos de Digital Guardian, una compañía de software de prevención de pérdida de datos.
2. Seguridad de punto final
Tener seguridad de punto final es imprescindible, al igual que DLP. Pero por sí solo, no puede decir si una persona autorizada está usando datos de manera legítima o no autorizada. Ahí es donde entra en juego User Behavior Analytics (UBA): le da una imagen precisa de la actividad de alguien y sugiere qué acciones apropiadas tomar. Y es por eso que los tres sistemas son vitales para proteger sus activos más valiosos.
3. UBA
UBA establece patrones de comportamiento normal para todos los usuarios internos, e inmediatamente activa una alerta durante un evento inusual. “Le ayuda a buscar el uso anormal, lo que Larry en contabilidad, un tipo que normalmente tiene acceso al sistema financiero, está haciendo lo que normalmente no hace”, explica Tierney de Veriato. “Es posible que esté accediendo al sistema con mayor frecuencia o imprimiendo más de lo normal. Tal vez se está preparando para una auditoría, o quizás no “. En este caso, una solución DLP puede ser irrelevante. Los datos encriptados tampoco le ayudarán. Solo el análisis del comportamiento de la red puede proporcionarle la información correcta para tomar las medidas adecuadas.
En una era de ataques constantes por parte de expertos, es esencial un programa de prevención de pérdida de datos. También lo es el cifrado de dispositivos de punto final. Pero la protección de sus activos de datos más esenciales está incompleta sin análisis que sigan el comportamiento de los usuarios. Necesita los tres para mantenerse alerta y salvaguardar su información más valiosa.
Comentários