in

Por qué la amenaza interna motivará a los equipos cibernéticos y físicos a trabajar juntos más que nunca en 2022


La convergencia de las funciones de ciberseguridad y seguridad física refleja la creciente interacción entre los sistemas digitales y el mundo físico, así como el creciente consenso de que una brecha en un área deja abierta la otra.

Pero todavía existen silos entre las dos funciones de seguridad. En algunos casos, quienes supervisan la ciberseguridad deben comprender la necesidad de compartir información y coordinarse con los profesionales de seguridad física que son responsables de controlar el acceso a las instalaciones, proteger los activos, etc.

Y para ambas funciones de seguridad, física y cibernética, los costos también pueden ser importantes: cada departamento debe ajustarse a un presupuesto y teme que la cooperación pueda conducir a la competencia por recursos ya limitados.

Cuando los expertos en seguridad analizan la convergencia ciberfísica, se refieren a algunos incidentes bien conocidos en los que un actor externo manipuló de forma remota un sistema conectado a Internet para comprometer el mundo físico, como los ataques del oleoducto colonial de 2021 que afectaron los suministros de combustible en el sureste de EE. UU. o el infame cierre de la red eléctrica ucraniana en 2015.

Estos incidentes te abren los ojos. Pero también pueden dar la falsa impresión de que la convergencia ciberfísica está firmemente en el dominio del equipo de TI. En casos como el ataque cibernético en el Oleoducto Colonial, un equipo de seguridad física juega solo un papel menor. El vector de ataque es dominio exclusivo del área cibernética. Estos escenarios de amenazas cibernéticas a menudo citados llevados a cabo por actores externos maliciosos también pueden ocultar el riesgo de los empleados actuales y anteriores en quienes se puede haber confiado pero que en última instancia representan una amenaza para el negocio de las amenazas internas.

Amenazas internas
Durante mi tiempo con la inteligencia de EE. UU., dirigí un extenso estudio sobre las amenazas internas cibernéticas en sectores de infraestructura crítica, que incluía entrevistas con personas internas que habían saboteado o explotado los sistemas de información en sus empresas. Trajimos la experiencia en seguridad física del Servicio Secreto y trabajamos en estrecha colaboración con expertos en seguridad cibernética del Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon, y nos dimos cuenta de que ambas disciplinas eran necesarias para comprender a fondo los incidentes de sabotaje cibernético de los empleados actuales y anteriores.

Esta colaboración fue necesaria, especialmente en nuestras entrevistas con los propios informantes. En cada entrevista, involucramos a un experto en seguridad física del Servicio Secreto y a un experto en ciberseguridad del SEI para revisar el pensamiento, la planificación, los motivos y otros comportamientos de los informantes antes de el ataque a investigar. Ambos expertos debían comprender a fondo la información privilegiada y verificar la credibilidad de las entrevistas internas.

Un hallazgo clave que descubrimos es que las personas con información privilegiada que sabotean o se aprovechan de los sistemas de información no se rompen sin más. Ante incidentes mayores, siguen un camino de planificación e investigación. Muestran un comportamiento inquietante que se puede observar, en línea y en persona, y que alarma a colegas y amigos. En algunos casos, informan explícitamente a otros de la actividad interna maliciosa que están planeando. Este hallazgo muestra que la información sobre posibles amenazas internas puede ser conocida por los guardias de seguridad física o los guardias de seguridad cibernética, o ambos, antes de que ocurra el daño, lo que subraya la necesidad de que estos departamentos compartan información para evitar el sabotaje interno.

También descubrimos que sus motivos a menudo eran muy personales y estaban relacionados con los problemas que enfrentaban los empleados cuando decidían explotar o sabotear los sistemas de información de la organización. Algunas personas internas tuvieron dificultades financieras y utilizaron los sistemas de información para apropiarse indebidamente de fondos o acceder a información patentada que luego vendieron a la competencia. Otros expertos no se sintieron apreciados por su trabajo y querían demostrar su experiencia creando un agujero de seguridad cibernética, que luego arreglaron. Y en otros casos, el empleado enfrentó una acción disciplinaria o despido y quería avergonzar a la empresa o arruinar la reputación de su marca.

En estos casos, alguna información era observable en el comportamiento online del insider antes del incidente, mientras que otros incidentes podían observarse en el comportamiento offline o personal del insider. Esto nuevamente subraya la necesidad de que los profesionales de la seguridad cibernética y los profesionales de la seguridad física trabajen juntos para prevenir las amenazas internas.

La cooperación es la clave para la prevención
Es interesante que los hallazgos de la investigación del Servicio Secreto/SEI sobre sabotaje cibernético coincidan estrechamente con el comportamiento antes de un ataque en el caso de violencia en el lugar de trabajo: los empleados que cometen actos de violencia en el lugar de trabajo suelen planificar sus ataques con anticipación y muestran un comportamiento observable. que alarma a los colegas o superiores y, a menudo, les cuenta a otros sobre sus planes violentos de antemano.

Los expertos en evaluación y gestión de amenazas entienden que la colaboración entre múltiples disciplinas, como la seguridad física y cibernética, los recursos humanos y el apoyo a los empleados o la salud mental, es fundamental para prevenir la violencia en el lugar de trabajo. Lo mismo se aplica a la prevención de ficheros iniciados relativos a cibersabotaje o explotación de sistemas de información.

Cuando los expertos en ciberseguridad y seguridad física trabajan juntos, tienen la oportunidad de prevenir la violencia física y el sabotaje cibernético. Aquellos en el campo de evaluación de amenazas de comportamiento ya saben que la seguridad física y la ciberseguridad a menudo están estrechamente relacionadas, especialmente cuando se trata de preocupaciones sobre empleados actuales y anteriores. Los empleados que muestran un comportamiento extraño o preocupante en línea también pueden mostrar un comportamiento personal alarmante en la oficina, en las llamadas de Zoom, etc. Sin embargo, si las responsabilidades de las áreas de seguridad física y seguridad cibernética no se comunican, pueden perder oportunidades para compartir información, «conectar los puntos» e identificar preocupaciones crecientes.

Y cuando los profesionales de la seguridad descubren que alguien está en un “camino hacia la violencia” o está planeando daños cibernéticos para la empresa, pueden intentar averiguar qué está impulsando ese comportamiento. ¿Qué problema está tratando de resolver el empleado, por ejemplo, o qué desafíos enfrenta? Es posible alejar a alguien del camino de la violencia, o de los planes de sabotaje cibernético, si logramos que resuelva los problemas subyacentes. A veces, puede ser suficiente conectar a un empleado estresado con asesoramiento financiero o cambiar de gerente o departamento para calmar las hostilidades y reducir los riesgos. Un enfoque holístico compartido por TI, recursos humanos y seguridad física puede incluso ayudar a los empleados a obtener consejos que podrían salvar sus trabajos y evitar actos destructivos.

Beneficios de trabajar juntos
A medida que avanzamos hacia 2022, los datos de la encuesta también subrayan la creciente necesidad de que la seguridad cibernética y física trabajen juntas: en una encuesta reciente de los principales profesionales de TI y seguridad física realizada por el Centro Ontic para la Inteligencia Protectora, el 37 % estuvo de acuerdo con la mayoría de las amenazas físicas que reciban sus empresas como ciberamenaza en 2021. En la encuesta, los indicadores previos al incidente (o amenazas) aparecieron por primera vez en herramientas de auditoría cibernética, correos electrónicos, redes sociales, software antivirus a través de infracciones cibernéticas o ataques de ransomware.

Pero a veces las empresas se encuentran con obstáculos al tratar de fomentar esta colaboración. Aquí hay algunas ideas para solucionarlos.

Primero, trata de averiguar dónde está el obstáculo. ¿Es cierto gerente o jefe de departamento que no quiere renunciar al «territorio»? ¿Es una barrera del idioma donde los guardias de seguridad física y los guardias de seguridad de TI simplemente no entienden la terminología técnica de los demás? ¿O hay confusión sobre lo que están haciendo los demás y dónde se superponen las responsabilidades?

Una vez que tenga una idea de dónde podría estar la resistencia, puede desarrollar una estrategia para fomentar una mejor comunicación y colaboración. Puede ser tan fácil invitar a alguien a tomar una taza de café, ver qué está haciendo en su departamento, qué preocupaciones y desafíos enfrentan y dónde comenzar a compartir información. Y tal vez incluso esté buscando a alguien que “habla” ambos idiomas, es decir, que entienda tanto la terminología de ciberseguridad como la de seguridad física, y que pueda actuar como una especie de traductor para conocer sus departamentos.

La clave para las organizaciones es una mayor colaboración entre empresas que han estado aisladas durante años. Es más fácil de lo que piensas.

Sobre el Autor

Randazzo.png

El ex psicólogo jefe del servicio secreto de EE. UU. Dr. Marisa Randazzo es experta internacional en análisis y gestión de amenazas. Como directora ejecutiva del Ontic Center of Excellence, brinda asesoramiento y servicios estratégicos para ayudar a los clientes a desarrollar y administrar programas de evaluación de amenazas e inteligencia de protección.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Los enrutadores domésticos con soporte NetUSB podrían tener vulnerabilidades críticas del kernel – Naked Security

¿Cómo puedes dejar Log4J en 2021?