Un fabricante global de alta tecnología había llegado a su punto de quiebre después de que varios de sus representantes de ventas se fueron de forma inesperada, y con ellos las oportunidades de ventas y otros datos para sus nuevos empleadores.
CSO | Stacy Collet
La empresa necesitaba detener los robos de información antes de que ocurrieran. Así que la compañía contrató a varios analistas de seguridad que observaban manualmente los patrones de comportamiento de todos los representantes de ventas desde el sistema CRM basado en la nube y, a continuación, hacían comparaciones con los comportamientos de los que en última instancia, renunciaron a sus puestos de trabajo. La información que lograron obtener fue sorprendente.
Los representantes de ventas que mostraron un aumento anormal en la actividad del sistema entre nueve y doce semanas de un trimestre financiero, en general, renunucian al final de la semana 13. En muchos casos, porque sabían que no iban a cumplir con sus cuotas de ventas, dice Rohit Gupta, presidente de la firma de automatización de seguridad en la nube Palerra, que ahora trabaja con el fabricante.
Estos comportamientos anormales incluyen una, o todas estas señales de advertencia. Acciones como exportar masivamente información, entrando a partes del sistema a las que no suelen ir, cambiando información, eliminando elementos, y hacer cualquiera de estas cosas desde la casa, o en la oficina un sábado por la tarde.
Con estos indicadores de alerta temprana, el personal era capaz de poner controles para detener las descargas masivas antes de que ocurrieran o congelar cuentas por varias horas hasta que un director tuvisese la oportunidad de hablar con el empleado.
Hoy en día, las herramientas de automatización de seguridad en la nube facilitan el trabajo de detectar estas señales de advertencia. “El análisis predictivo es importante, no solo la prevención o detección, pero tomar la delantera“, dice Gupta. Loric de Palerra es una de un puñado de herramientas de automatización de seguridad en la nube que se ha aventurado en las capacidades de análisis predictivo en la parte superior de administración de la configuración de seguridad, detección de amenazas y automatización de respuestas a incidentes; y llega en un momento crítico.
Una economía próspera significa una mayor oportunidad para buscadores de empleo, y por tanto hay más la rotación laboral. En mayo de 2015, la Oficina de Estadísticas Laborales de Estados Unidos informó de 4.7 millones de separaciones totales de empleados, en las que 2.7 millones fueron “renuncias”, o separaciones voluntarias iniciadas por el empleado. Pero últimamente, se ha hecho en más fácil para que los empleados dejen la empresa con algo más que su plan de pensiones y una caja de lápices.
Los empleados están tomando datos valiosos de la empresa que se almacenan en la nube en sistemas de CRM como Salesforce, herramientas de colaboración, tales como Microsoft Office 365, o sitios de almacenamiento como Dropbox y Box.
“Es tan fácil de acceder a los datos, descargarlos y transferirlos en estos días, que de hecho, la empresa ni siquiera sabe lo que está pasando“, dice el presidente Eric Chiu de la empresa de automatización de seguridad en la nube HyTrust. “En el otro lado, es difícil hacer un seguimiento” todos los datos que están ahí afuera y su seguridad depende de un usuario autenticado, añade.
La mitad de los empleados que abandonaron sus puestos en 2013 se llevó datos de la empresa con ellos, y el 40 por ciento planeaba utilizar esos datos en su nuevo puesto de trabajo, según un estudio realizado por Symantec y el Instituto Ponemon.
En enero, Morgan Stanley despidió a uno de sus asesores financieros después de acusarlo de robar datos de cuentas en cerca de 350,000 clientes, potencialmente uno de los robos de datos más grandes en una firma de gestión de patrimonios.
Las capacidades predictivas están disponibles en solo un puñado de proveedores de automatización seguridad en la nube de hoy, y algunos analistas consideran que el análisis predictivo sigue estando en sus primeras etapas.
“Hay potencial, pero las aplicaciones prácticas están todavía un poco inmaduras,” dice Jon Oltsik, analista principal senior de Enterprise Strategy Group. “Se puede hacer algo que busque un ataque donde usted sospeche puede haber uno, pero lo que es difícil es ajustarlo a algo que no conoce. Puede mirar los patrones de acceso a repositorios y cuánta gente descarga, y si guarda documentos localmente. Pero siempre hay formas creativas de trabajar alrededor de eso. Un forma muy dedicada y sofisticada es cifrar rápidamente dónde no se está buscando, y ese es el problema “. ¿O van a llevar a cabo un robo “bajo y lento” moviendo datos regularmente a un repositorio en el tiempo, añade.
Sin embargo, los proveedores de automatización de seguridad continúan agregando capacidades de análisis predictivo a sus plataformas. En julio, Splunk adquirió la compañía de seguridad Caspida para agregar máquinas capaces de hacer análisis del comportamiento de usuario basado en el aprendizaje, y ampliar su SIEM con analíticas habilitadas para detectar mejor las amenazas de forma avanzada y privilegiada.La plataforma Splunk puede buscar, monitorear, analizar y visualizar grandes volúmenes de datos procedentes de sitios web, aplicaciones, servidores, redes, sensores y dispositivos móviles.
Algunos usuarios de sistemas basados en la nube pueden optar por esperar a que el análisis predictivo madure antes de dar el paso. Mientras tanto, hay otras maneras de prevenir que la información se vaya por la puerta con los empleados, según los expertos…
Trabajar con los recursos humanos
Es importante que los administradores de seguridad TI se comuniquen con el departamento de recursos humanos para que estén al tatno de los despidos u otras cuestiones de personal que puedan conducir a salidas de los empleados. “Hay que mirar todos los datos que está disponibles en su entorno corporativo, como la fuente de datos de recursos humanos. Si un empleado tiene una fecha de terminación o está siendo terminado por cualquier razón, entonces se tiene que mirar a las actividades del sistema de esa persona con un mayor escrutinio”, dice Andras Cser, vicepresidente y analista principal de Forrester Research, que sirven profesionales de la seguridad y de riesgo.
Supervisar almacenamiento externo
Muchas empresas tienen medidas para impedir automáticamente el uso no autorizado de los sistemas internos, o prevenir que los usuarios descarguen datos, pero ¿qué pasa con los sitios de almacenamiento en la nube que están fuera de su control directo?
“Usted puede tener soluciones como CloudLock, BetterCloud, y otros que controlen a las API de un servicio en la nube como Dropbox, Box o Salesforce”, dice Cser. “Si la solución ve que estoy descargando 300 veces el volumen de datos de lo que habitualmente hago, entonces se enviará una alerta.”
Encriptar
Encriptar los datos sensibles “de modo que si se llevan fuera de la oficina, entonces ya no son útiles. Los controles, supervisión y seguridad de datos internamente pueden prevenir que sucedan cosas malas “, dice Chiu.
Uso de automatización
Aplicaciones de la nube son típicamente silos y no está conectadas a la red, por lo que es difícil poner controles en el lugar a través del tablero. “El resultado es, si hay propietarios distintos, responsables de la gestión de Workday, Google Apps o Box, por ejemplo, a continuación, los administradores tienen que hacer lo correcto” y hacer seguimiento y control adecuado en el lugar, dice Gupta. “Esa es una razón más para la automatización de seguridad en la nube. Si usted tiene un marco de seguimiento 24/7 de forma automatizada, por consiguiente, la empresa tiene a alguien que cuide la espalda “.