Lo que Harry Potter nos enseña sobre la vigilancia constante y las amenazas internas
El personaje de Ojoloco Moody en «Harry Potter y el cáliz de fuego» predicaba la «vigilancia constante» contra los magos oscuros, incluso cuando era un villano disfrazado. El verdadero Ojoloco Moody había sido secuestrado y encerrado en un baúl durante todo un año, mientras que un impostor asumía su forma y asumía su papel de defensa contra el profesor de artes oscuras en el Colegio Hogwarts de Magia y Hechicería. No solo era un impostor, sino que era un mago oscuro, uno de los seguidores más leales de Lord Voldemort, decidido a sacar a Harry y restaurar a Voldemort a su máximo poder.
La “vigilancia constante” es también un consejo sabio para las empresas. Con la amenaza de personas internas malintencionadas, atacantes no detectados que se mueven por una red y otros riesgos que mitigar, no existe una solución única en materia de seguridad. La investigación de la industria como la de 2018 Informe de investigaciones de violación de datos de Verizon (DBIR) ayuda a la comunidad colectiva a vigilar las tendencias y a obtener información de las lecciones aprendidas para adelantarse a las posibles vulnerabilidades antes de que se conviertan en problemas. Algunas tendencias clave identificadas en el informe me llamaron la atención.
Si bien el informe indica que el 78 por ciento de las personas no hicieron clic en un solo enlace de phishing durante todo el año (lo cual es una noticia prometedora), el phishing y los pretextos siguen siendo métodos de ataque populares. Los atacantes solo necesitan que un empleado haga clic en un enlace y abra la puerta para que ingrese. Una vez que un atacante ha robado las credenciales, puede maniobrar dentro de la red, aumentando los niveles de privilegio hasta que tenga el acceso que necesita para causar el caos que pretenden.
El énfasis del informe en la educación —asegurarse de que los empleados estén capacitados para identificar y denunciar ataques sociales como el phishing— es una importante línea de defensa. Saber qué buscar es la mitad de la batalla. Sin embargo, es imperativo tener una estrategia más allá de la educación que priorice la seguridad de acceso privilegiado. Sigue siendo tan importante ahora como en los últimos años practicar los principios de privilegios mínimos junto con la gestión de acceso privilegiado. En conjunto, esto proporciona a las empresas una superficie de ataque drásticamente reducida. Un enfoque en la higiene de la seguridad del acceso privilegiado también es fundamental para un programa de seguridad cibernética eficaz. Tácticas como la autenticación multifactor, el almacenamiento y la rotación de credenciales confidenciales pueden ayudar a proteger cuentas poderosas dentro de la organización.
En la fabricación, las tendencias notables incluyen ataques dirigidos y robo de propiedad intelectual. Según el informe, el ciberespionaje representó el 31 por ciento de todas las infracciones en la fabricación. Este número es inferior al del año pasado, pero el ciberespionaje sigue siendo una amenaza muy real para la industria. Los atacantes persiguen objetivos de fabricación con un propósito específico en mente, eligiendo víctimas con valiosos secretos comerciales y propiedad intelectual. Una vez que se ha extraído esta información confidencial, los competidores pueden usarla contra la víctima en el mercado, un enfoque diferente al de desviar fondos directamente, pero aún así, en última instancia, resulta en una ganancia financiera para los atacantes.
En la industria de la salud, la historia del año (manteniéndose en línea con años anteriores) no se trata solo de atacantes externos, sino también de internos. El ransomware sigue siendo frecuente, aunque no en el constante ataque que muchas personas perciben. De acuerdo con la informe, la mayoría de las empresas reciben malware seis o menos días al año. Sin embargo, solo se necesita UN ataque exitoso de ransomware para poner de rodillas a una organización. Y aunque la industria de la seguridad tiende a centrarse en los datos que son robados por atacantes externos, también es importante prestar atención a lo que sucede dentro de la organización. El informe de este año indica que hay muchos casos en los que los empleados hacen un mal uso de sus cuentas, ya sea intencionalmente o por accidente. Como tal, los empleados con acceso a datos más allá de su función dentro de la organización pueden volverse problemáticos.
También dentro de la atención médica, el informe señala que los empleados a veces hacen un mal uso de sus credenciales para acceder a información que no necesitan para realizar sus tareas. Por ejemplo, los empleados pueden buscar los registros de un paciente famoso por curiosidad o «simplemente por diversión». Este tipo de actividad subraya la importancia de seguir los principios de privilegios mínimos, junto con el control de aplicaciones, así como de implementar capacidades de supervisión de sesiones privilegiadas. Incluso sin intención malintencionada, el uso indebido de credenciales puede ser tan dañino como el robo de credenciales, provocando infracciones de cumplimiento y normativas.
En el mundo mágico, colocar dementores en las puertas y esperar lo mejor simplemente no es suficiente, particularmente considerando la cantidad de veces que Lord Voldemort y sus compinches lograron atravesar los muros del castillo, a veces incluso sin ser detectados. Pero la seguridad cibernética no es mágica. Se necesita estrategia, planificación y colaboración para reducir el riesgo de seguridad cibernética. No solo debemos ser capaces de reconocer a los atacantes fuera de la organización, sino que también debemos protegernos contra el alcance excesivo y los empleados aparentemente inocentes para que no se conviertan en atacantes internos. La «vigilancia constante» incluye proteger el acceso privilegiado de los magos oscuros del mundo cibernético.