Esther Christopher: Cinco cambios en el comportamiento del usuario que los equipos de TI deben tener en cuenta en un espacio de trabajo descentralizado

Hombre en habitación, mesa con laptops, pantalla de computadora y libro

En los primeros días de la pandemia, muchas empresas se vieron obligadas a adoptar el trabajo remoto para responder a las necesidades de los clientes y mantener las operaciones. Aunque las empresas han retomado actividades y los programas de vacunación están avanzando en muchos países, es evidente que el trabajo a distancia llegó para quedarse.

Según una encuesta realizada por el portal de empleo de Navent, el 76% de los especialistas en Recursos Humanos argentinos respondieron que no creen que cuando se flexibilice el distanciamiento obligatorio, el regreso a la oficina sea inmediato. Con la pandemia demostrando ser un catalizador para el trabajo remoto, las organizaciones de la región están enfocadas en abordar los desafíos de una fuerza laboral distribuida, y la tecnología jugará un papel clave en la implementación de nuevas formas de trabajo.

Banner_frasco-suscripcion-800x250

A medida que los empleados acceden a los datos de la empresa en entornos menos seguros, es fundamental que los equipos de TI protejan a la empresa contra ciberataques y, al mismo tiempo, garanticen la continuidad del negocio. Los equipos de TI enfrentan la doble tarea de garantizar la productividad y la eficiencia mientras intentan mitigar las amenazas. Sin embargo, con cientos – a veces miles – de empleados repartidos en diferentes ubicaciones, ¿cómo pueden los equipos de TI mantener segura la red de la organización?

Tecnologías basadas en Aprendizaje Automático (Machine Learning) permiten a los equipos de TI monitorear las actividades de los empleados en varias ubicaciones. Las organizaciones pueden aprovechar una línea de base estándar de comportamiento del usuario asignada a cada empleado para identificar cualquier anomalía en la red que pueda conducir a una amenaza de seguridad crítica. La detección precisa de amenazas permite a los equipos de TI ahorrar tiempo y esfuerzo, ya que pueden concentrarse en responder a las amenazas rápidamente y no abrumarse con falsos positivos.

Para proteger la red de la organización de ataques cibernéticos como amenazas internas, compromiso de cuentas y exfiltración de datos, los equipos de TI pueden comenzar por monitorear el comportamiento del usuario en busca de actividades sospechosas. A continuación, se muestran algunos cambios de comportamiento del usuario a tener en cuenta en un espacio de trabajo descentralizado:

1. Tiempos de acceso inusuales

La combinación de empleados que trabajan tanto desde casa como desde la oficina puede dar como resultado tiempos de acceso de los usuarios que difieren de las horas de funcionamiento habituales. La supervisión de estos cambios permite a los equipos de TI identificar un nuevo patrón estándar de horas de inicio de sesión para cada empleado, independientemente de su ubicación de trabajo. Esto ayuda a detectar anomalías que van en contra del comportamiento normal identificado. Por ejemplo, si la nueva hora de inicio de sesión normal de un usuario es de 10:00 AM a 6:00 PM. Y un día inicia sesión a la medianoche, esto debe contarse como una anomalía horaria. Los equipos de TI pueden investigar de inmediato esta posible amenaza interna y responder a ella.

2. Numerosos errores de inicio de sesión

Mantenerse al tanto de la identidad de los usuarios que inician sesión en la red de la empresa se vuelve cada vez más difícil. Los actores de amenazas que llevan a cabo ataques como la filtración de datos y las amenazas persistentes avanzadas a menudo usan técnicas para obtener acceso a un sistema desde ubicaciones remotas y permanecen en la red durante un período de tiempo prolongado, lo que puede causar un daño inmenso a la red de la organización.

Monitorear las fallas de inicio de sesión ayuda a proporcionar información sobre quién está intentando acceder a la red y por qué hay numerosas fallas en un host en particular dentro de un período específico. Esto ayuda a los equipos de seguridad a detectar el origen de esta actividad sospechosa y mitigar las posibles amenazas a la seguridad.

3. Descargas de archivos inusuales

A medida que los empleados tanto remotos como in situ acceden a los recursos de la organización, puede abrir la red a intrusiones. Los ciberdelincuentes pueden utilizar el cambio impulsado por la pandemia hacia una fuerza laboral distribuida como una oportunidad para filtrar datos confidenciales. Si una organización cuenta con tecnología de ML, un usuario con una cantidad inusual de descargas de archivos se marcará con una anomalía en el recuento. Ya sea que el perpetrador sea un infiltrado malintencionado o una amenaza externa, el administrador de seguridad recibe una alerta inmediata para que detenga la exfiltración de datos confidenciales.

4. Fallos de autenticación excesivos

La expansión de la fuerza laboral remota ha hecho que el acceso remoto sea más fácil de explotar y más difícil de detectar. El monitoreo de fallas de autenticación puede resaltar cuentas de usuario cuestionables para una investigación inmediata. Incluso antes de que ocurra un evento de seguridad, se puede alertar a los administradores de seguridad para que protejan la red de intentos de intrusión y otras formas de amenazas externas.

5. Cambios anormales de permisos

Para que un intruso se aproveche de la red de una organización y acceda a sus recursos, necesita privilegios de acceso de usuario elevados. Los ciberdelincuentes pueden manipular las cuentas para mantener el acceso a los sistemas de las víctimas modificando las credenciales o los grupos de permisos. Los privilegios de usuario avanzados esencialmente brindan a los actores de amenazas una clave para filtrar datos confidenciales. Al monitorear los cambios de permisos inusuales que pueden indicar permisos excesivamente amplios que se otorgan a las cuentas comprometidas, los equipos de TI pueden identificar estas amenazas de seguridad y detener un potencial ataque cibernético.

Vigilar un espacio de trabajo descentralizado puede ser un desafío. Sin embargo, con la ayuda de técnicas de aprendizaje automático, los equipos de seguridad pueden diseñar un comportamiento básico estándar para identificar anomalías en el acceso de los usuarios. La tecnología ML combinada con un sistema de gestión de incidentes puede ayudar a aumentar la productividad de los equipos de TI al permitirles priorizar las amenazas de seguridad según la gravedad, realizar evaluaciones de riesgo proactivas a intervalos regulares y detectar y responder a ataques persistentes. Al establecer un punto de referencia, los equipos de TI pueden abordar de inmediato los problemas potenciales y proteger la red de la empresa de los ciberataques.

A medida que continúa el trabajo remoto, hay más margen de maniobra para que personas internas malintencionadas o intrusos pasen desapercibidos. Los equipos de seguridad de TI deben reforzar sus políticas de ciberseguridad y asegurarse de que se cubran todos los posibles vectores de ataque.


Reciba las últimas noticias de la industria en su casilla:

Suscribirse ✉